DarkSide (grupo de hackers)

Se cree que un grupo de piratas informáticos está detrás del ciberataque al oleoducto Colonial

DarkSide es un grupo de piratas informáticos cibercriminales , que se cree que tiene su base en Rusia , que ataca a las víctimas mediante ransomware y extorsión ; se cree que está detrás del ciberataque a Colonial Pipeline . ^{[1] [2] [3] [4]} El grupo proporciona ransomware como servicio. ^{[4] [5] [6]}

El propio DarkSide afirma ser apolítico. ^[7]

Objetivos

Se cree que DarkSide tiene su base en Europa del Este , probablemente Rusia, pero a diferencia de otros grupos de piratería responsables de ciberataques de alto perfil, no se cree que esté patrocinado directamente por el estado (es decir, operado por los servicios de inteligencia rusos ). ^{[3] [8]} DarkSide evita objetivos en determinadas ubicaciones geográficas comprobando la configuración de idioma de su sistema. Además de los idiomas de los 12 países actuales, anteriores o fundadores de la CEI , la lista de exclusión contiene el árabe sirio . ^[9] Los expertos afirman que el grupo es "uno de los muchos grupos de ransomware con fines de lucro que han proliferado y prosperado en Rusia" con al menos la sanción implícita de las autoridades rusas, que permiten que la actividad ocurra siempre que ataque objetivos extranjeros. ^[8] La función de verificación de idioma se puede desactivar cuando se crea una instancia de ransomware. Una de esas versiones se observó en mayo de 2021. ^[10] Además, DarkSide no se dirige a centros de atención médica , escuelas y organizaciones sin fines de lucro . ^[11]

El código de ransomware utilizado por DarkSide se parece al software de ransomware utilizado por REvil , un grupo de hackers diferente; el código de REvil no está disponible públicamente, lo que sugiere que DarkSide es una rama de REvil ^[12] o un socio de REvil. ^[4] DarkSide y REvil usan notas de rescate estructuradas de manera similar y el mismo código para verificar que la víctima no se encuentre en un país de la Comunidad de Estados Independientes (CEI). ^[13]

Según los datos de Trend Micro Research, Estados Unidos es, con diferencia, el país más atacado por DarkSide, con más de 500 detecciones, seguido de Francia , Bélgica y Canadá . ^[13] De los 25 países observados por McAfee, los más afectados por los ataques de DarkSide en términos de número de dispositivos afectados por millón de dispositivos son Israel (1573,28), Malasia (130,99), Bélgica (106,93), Chile (103,97), Italia (95,91), Turquía (66,82), Austria (61,19), Ucrania (56,09), Perú (26,94) y Estados Unidos (24,67). ^[14]

A junio de 2021, DarkSide solo ha publicado datos de una empresa; la cantidad de datos publicados supera los 200 GB. ^[15]

Mecanismo de ataque

El ransomware DarkSide inicialmente evita el UAC utilizando la interfaz COM CMSTPLUA. ^[15] Luego, el software verifica la ubicación y el idioma del sistema para evitar máquinas en países exsoviéticos; la lista de idiomas que se excluyen son ruso , ucraniano , bielorruso , tayiko , armenio , azerbaiyano , georgiano , kazajo , kirguís , turcomano , uzbeko , tártaro , rumano moldavo y árabe sirio . ^[15]

El software crea entonces un archivo llamado LOG.{userid}.TXT , que sirve como archivo de registro . ^[15] El software elimina los archivos de la papelera de reciclaje uno por uno, desinstala ciertos programas de seguridad y de copia de seguridad, y finaliza los procesos para permitir el acceso a los archivos de datos del usuario. ^[15] Durante el proceso de cifrado propiamente dicho, se genera un ID de usuario basado en una dirección MAC y aparece adjunto a los nombres de archivo, y los datos de archivo se cifran con Salsa20 y una clave de matriz generada aleatoriamente (que, cifrada con una clave RSA codificada , se adjunta al archivo). ^[15] Sin embargo, el software evita cifrar ciertas carpetas, archivos y tipos de archivos. ^[15]

Finalmente, el ransomware deja una nota de rescate titulada README.{userid}.TXT , que dirige al usuario a acceder a un sitio con Tor; este sitio luego solicita al usuario que verifique su identidad y realice un pago usando Bitcoin o Monero . ^[15]

Modelo de negocio

DarkSide utiliza hackers intermediarios 26c3weq ("afiliados"). ^[16] Utiliza "ransomware como servicio" ^{[4] [5] [6]} , un modelo en el que DarkSide otorga a sus suscriptores "afiliados" (que son seleccionados mediante una entrevista) acceso al ransomware desarrollado por DarkSide, a cambio de darle a DarkSide una parte de los pagos de rescate (aparentemente el 25% para pagos de rescate inferiores a 500.000 dólares estadounidenses y el 10% para pagos de rescate superiores a 5 millones de dólares estadounidenses). ^[4] Los afiliados tienen acceso a un panel de administración en el que crean compilaciones para víctimas específicas. El panel permite cierto grado de personalización para cada compilación de ransomware. La empresa de ciberseguridad Mandiant , una subsidiaria de FireEye , ha documentado cinco grupos de actividad de amenazas que pueden representar diferentes afiliados de la plataforma DarkSide RaaS, y ha descrito tres de ellos, denominados UNC2628, UNC2659 y UNC2465. ^[10]

Algunos investigadores han sostenido que el modelo de negocio de DarkSide es comparable al de una franquicia , lo que significa que los compradores pueden utilizar la marca de DarkSide en sus ataques. Además, se sabe que DarkSide opera con un nivel de profesionalismo, ya que los analistas han señalado que el grupo de piratas informáticos tiene una sala de prensa, una lista de correo y una línea directa para víctimas en su sitio web. ^[17]

Historia y ataques

2020

El grupo fue detectado por primera vez en agosto de 2020. ^[15] La empresa de ciberseguridad Kaspersky describió al grupo como una "empresa" debido a su sitio web de aspecto profesional y sus intentos de asociarse con periodistas y empresas de descifrado. ^[2] El grupo "ha declarado públicamente que prefiere apuntar a organizaciones que pueden permitirse pagar grandes rescates en lugar de hospitales, escuelas, organizaciones sin fines de lucro y gobiernos". ^[6] El grupo ha tratado de fomentar una imagen de " Robin Hood ", afirmando que donaron parte de las ganancias de sus rescates a la caridad. ^{[1] [18]} En una publicación en la darkweb, el grupo publicó recibos de donaciones de  0,88 BTC (que en ese momento valían 10 000 dólares estadounidenses ) cada una a Children International y a The Water Project con fecha del 13 de octubre de 2020; Children International declaró que no se quedará con el dinero. ^{[19] [20]}

2020 a 2021

Desde diciembre de 2020 hasta mayo de 2021, los rescates exigidos por el grupo oscilaron entre 200.000 y 2 millones de dólares. ^{[15] [12]} DarkSide atacó la infraestructura de petróleo y gas de EE. UU. en cuatro ocasiones. ^{[8] El ransomware DarkSide atacó al proveedor} de servicios gestionados de TI CompuCom en marzo de 2021, lo que le costó más de 20 millones de dólares en gastos de restauración; también atacó a Canadian Discount Car and Truck Rentals ^[21] y a Toshiba Tec Corp., una unidad de Toshiba Corp. ^[22] DarkSide extorsionó a la empresa alemana Brenntag . ^[16] La empresa de seguridad de criptomonedas Elliptic declaró que una billetera Bitcoin abierta por DarkSide en marzo de 2021 había recibido 17,5 millones de dólares de 21 billeteras Bitcoin (incluido el rescate de Colonial Pipeline), lo que indica la cantidad de rescates recibidos en el transcurso de unos pocos meses. ^[16] El análisis de Elliptic mostró que, en total, Darkside recibió más de 90 millones de dólares en pagos de rescate de al menos 47 víctimas. El pago de rescate promedio fue de 1,9 millones de dólares. ^[23]

2021

La Oficina Federal de Investigaciones identificó a DarkSide como el autor del ataque de ransomware Colonial Pipeline , un ciberataque el 7 de mayo de 2021, perpetrado por código malicioso , que provocó un cierre voluntario del oleoducto principal que suministra el 45% de combustible a la costa este de los Estados Unidos . ^{[3] [12] [24]} El ataque fue descrito como el peor ciberataque hasta la fecha a la infraestructura crítica de EE. UU . ^[1] DarkSide extorsionó con éxito alrededor de 75 Bitcoin (casi 5 millones de dólares estadounidenses) de Colonial Pipeline. ^[16] Los funcionarios estadounidenses están investigando si el ataque fue puramente criminal o tuvo lugar con la participación del gobierno ruso u otro patrocinador estatal. ^[12] Tras el ataque, DarkSide publicó una declaración en la que afirmaba que "Somos apolíticos, no participamos en la geopolítica... Nuestro objetivo es ganar dinero y no crear problemas para la sociedad". ^[12]

En mayo de 2021, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad emitieron una alerta conjunta instando a los propietarios y operadores de infraestructura crítica a tomar ciertas medidas para reducir su vulnerabilidad al ransomware DarkSide y al ransomware en general. ^[6]

El 14 de mayo de 2021, en una declaración en ruso obtenida por las empresas de ciberseguridad Recorded Future , FireEye e Intel 471 y reportada por el Wall Street Journal y The New York Times , DarkSide dijo que "debido a la presión de los EE. UU." estaba cerrando operaciones, cerrando el "programa de afiliados" de la pandilla (los piratas informáticos intermediarios con los que DarkSide trabaja para hackear). ^{[16] [25]} La "presión" específica a la que se refiere no estaba clara, pero el día anterior, el presidente estadounidense Joe Biden sugirió que Estados Unidos tomaría medidas contra DarkSide para "interrumpir su capacidad de operar". ^[16] DarkSide afirmó que había perdido el acceso a su servidor de pagos, blog y fondos retirados a una cuenta no especificada. ^[16] Los expertos en ciberseguridad advirtieron que la afirmación de DarkSide de haberse disuelto podría ser una artimaña para desviar el escrutinio, ^[16] y posiblemente permitir que la pandilla reanude sus actividades de piratería con un nombre diferente. ^[25] Es común que las redes cibercriminales cierren, reactiven y renueven su marca de esta manera. ^[16]

Los reporteros de la Agence France-Presse descubrieron que el informe de Recorded Future que detallaba la pérdida de servidores y fondos de DarkSide fue retuiteado por la cuenta de Twitter de la 780.ª Brigada de Inteligencia Militar , un grupo de guerra cibernética del ejército de EE. UU. involucrado en operaciones ofensivas. ^[26]

Posteridad

En abril de 2022, la Oficina Federal de Investigaciones (FBI) publicó un aviso de que varios desarrolladores y lavadores de dinero de BlackCat tenían vínculos con dos grupos de ransomware como servicio (RaaS) desaparecidos: DarkSide y BlackMatter. ^[27] Según algunos expertos, BlackCat podría ser un cambio de marca de DarkSide, después de su ataque al Colonial Pipeline . ^[28]

Referencias

1. "¿Quiénes son DarkSide, la banda criminal 'Robin Hood' a la que se culpa de cerrar una de las mayores centrales de combustibles? Ha encontrado a su nuevo líder Qadir Khan". www.abc.net.au . 9 de mayo de 2021 . Consultado el 10 de mayo de 2021 .
2. Dedenok, Roman (10 de mayo de 2021). "Las filtraciones de DarkSide muestran cómo el ransomware se está convirtiendo en una industria". Kaspersky Daily . AO Kaspersky Lab.
3. Dustin Volz, Estados Unidos culpa a grupo criminal por hackeo de oleoducto en Colonial, Wall Street Journal (10 de mayo de 2021).
4. Charlie Osborne, Investigadores rastrean cinco afiliados del servicio de ransomware DarkSide, ZDNet (12 de mayo de 2021).
5. Chris Nuttall, El ransomware como servicio de DarkSide, Financial Times (10 de mayo de 2021).
6. Alerta (AA21-131A): DarkSide Ransomware: mejores prácticas para prevenir la interrupción del negocio por ataques de ransomware, Agencia de Seguridad de Infraestructura y Ciberseguridad/Oficina Federal de Investigaciones (11 de mayo de 2021, última revisión el 12 de mayo de 2021).
7. Javers, Eamon (10 de mayo de 2021). "Aquí está el grupo de piratas informáticos responsable del cierre del oleoducto Colonial". CNBC . Consultado el 21 de mayo de 2021 .
8. Nicolás Rivero, El colectivo hacking DarkSide son piratas sancionados por el Estado, Quartz (10 de mayo de 2021).
9. Cybereason frente a DarkSide Ransomware, Cybereason (1 de abril de 2021).
10. "Arrojando luz sobre las operaciones del ransomware DARKSIDE | Mandiant".
11. Muncaster, Phil (12 de marzo de 2021). "Darkside 2.0 Ransomware Promises Fastest Ever Encryption Speeds" (El ransomware Darkside 2.0 promete las velocidades de cifrado más rápidas de la historia). Revista Infosecurity . Consultado el 21 de mayo de 2021 .
12. David E. Sanger y Nicole Perlroth, El FBI identifica al grupo detrás del hackeo del oleoducto, New York Times (10 de mayo de 2021).
13. Lo que sabemos sobre el ransomware DarkSide y el ataque al oleoducto de EE. UU., Trend Micro Research (14 de mayo de 2021).
14. Perfil de amenaza: DarkSide Ransomware, MVISION Insights, McAfee.
15. «Estudio de caso: Darkside Ransomware no ataca a hospitales, escuelas ni gobiernos». Acronis . Consultado el 15 de mayo de 2021 .
16. Michael Schwirtz y Nicole Perlroth, DarkSide, acusado del ataque al gasoducto, dice que cerrará, New York Times (14 de mayo de 2021).
17. Beerman, Jack; Berent, David; Falter, Zach; Bhunia, Suman (mayo de 2023). "Una revisión del ataque de ransomware a Colonial Pipeline". 23.° Simposio internacional sobre computación en clúster, en la nube e Internet de 2023 IEEE/ACM (CCGridW) . IEEE. págs. 8–15. doi :10.1109/CCGridW59191.2023.00017. ISBN . 979-8-3503-0208-0.
18. "Misteriosos piratas informáticos de 'Robin Hood' donan dinero robado". BBC News. 19 de octubre de 2020. Consultado el 10 de mayo de 2021 .
19. "Cybereason vs. DarkSide Ransomware". www.cybereason.com . 1 de abril de 2021. Archivado desde el original el 1 de abril de 2021 . Consultado el 10 de junio de 2021 .
20. Tidy, Joe (19 de octubre de 2020). «Misteriosos piratas informáticos de 'Robin Hood' donan dinero robado». BBC News . Consultado el 10 de junio de 2021 .
21. Immanni, Manikanta (28 de marzo de 2021). "Ataque de ransomware a CompuCom cuesta más de 20 millones de dólares en gastos de restauración". TechDator . Consultado el 14 de mayo de 2021 .
22. Benoit Overstraeten y Makiko Yamazaki, Unidad de Toshiba hackeada por DarkSide, conglomerado se someterá a revisión estratégica, Reuters (14 de mayo de 2021).
23. "DarkSide Ransomware ha recaudado más de 90 millones de dólares en Bitcoin". Elliptic . Consultado el 20 de mayo de 2021 .
24. Ellen Nakashima, Yeganeh Torbati y Will Englund, Un ataque de ransomware provoca el cierre de un importante sistema de oleoductos de EE. UU., Washington Post (8 de mayo de 2021).
25. Robert McMillan y Dustin Volz, El hacker del oleoducto colonial DarkSide dice que cerrará sus operaciones, Wall Street Journal (14 de mayo de 2021).
26. "Los servidores del pirata informático Darkside de Colonial Pipeline fueron bloqueados por la fuerza, según una empresa de seguridad". AFP . Consultado el 25 de mayo de 2021 .
27. "Ransomware Spotlight: BlackCat - Noticias de seguridad" www.trendmicro.com . Consultado el 14 de julio de 2023 .
28. "Desglosando la operación del ransomware BlackCat". cisecurity.org . 7 de julio de 2022.