Apenas unas semanas antes de que la banda cibernética conocida como DarkSide atacara a un importante propietario de un oleoducto de EE. UU., Interrumpiendo el suministro de gasolina y combustible para aviones en toda la costa este del país, el grupo presionó a una pequeña editorial familiar en el Medio Oeste.
Trabajando con un hacker que servía a Woris, DarkSide lanzó una serie de ataques dirigidos a bloquear los sitios web de la editorial, que trabaja principalmente con clientes en educación primaria, si no pagaba un rescate de US $ 1,75 millones. 14 millones).
Incluso amenazó con contactar a los clientes de la empresa para informar falsamente que había obtenido información que, según la pandilla, podría ser utilizada por pedófilos para hacer tarjetas de identificación falsas para ingresar a las escuelas. Woris encontró esta última trama especialmente interesante. «Se ríe en lo más profundo de su alma sobre las identidades filtradas que están siendo utilizadas por pedófilos», dijo en ruso en una conversación secreta con DarkSide obtenida por el New York Times. «No pensé que los asustaría tanto».
El ataque de DarkSide al propietario del oleoducto Colonial Pipeline en Georgia no solo proyectó a la pandilla en el escenario internacional, sino que también iluminó una industria criminal en rápida expansión, con sede principalmente en Rusia, que se ha transformado a partir de una técnica de invasión de computadoras sofisticadas en un proceso de línea de ensamblaje. . Hoy en día, incluso los grupos pequeños y los piratas informáticos con capacidades informáticas mediocres pueden representar una amenaza para la seguridad nacional.
Antes, los delincuentes tenían que jugar a juegos mentales para convencer a las personas de que entregaran contraseñas bancarias y tuvieran el conocimiento para extraer dinero de cuentas personales seguras. Ahora prácticamente cualquier persona puede obtener «ransomware» (software de extorsión) y cargarlo en un sistema informático comprometido utilizando trucos de los tutoriales de YouTube o con la ayuda de grupos como DarkSide.
«Cualquier idiota puede ser un ciberdelincuente hoy», dice Serguei Pavlovich, quien pasó diez años en la cárcel en su natal Bielorrusia por delitos en Internet. «La barrera intelectual de entrada era muy baja».
Una mirada a las comunicaciones secretas de DarkSide en los meses previos al ataque Colonial Pipeline revela una operación criminal en aumento, que extrae millones de dólares en rescate cada mes. DarkSide ofrece lo que se llama «ransomware como servicio», en el que un desarrollador de software deshonesto cobra una tarifa a los supuestos afiliados como Woris, que pueden no tener la capacidad para crear ransomware, pero pueden piratear el sistema informático de Una Víctima.
Los servicios de DarkSide incluyen soporte técnico para piratas informáticos, negociación con objetivos como el editor, procesamiento de pagos y creación de campañas de presión a medida a través del chantaje y otros medios, como ataques secundarios para paralizar sitios web.
Las tarifas de usuario de DarkSide funcionaron en una escala descendente: 25% para cualquier redención inferior a $ 500K (R $ 2,6 millones) al 10% para reembolsos superiores a $ 5M (R $ 26,1 millones), según la empresa de seguridad informática FireEye.
Como una operación de inicio, DarkSide tuvo que enfrentar problemas crecientes, al parecer. En una conversación con alguien del servicio de atención al cliente del grupo, Woris se quejó de que la plataforma de ransomware era difícil de usar, lo que le costaba tiempo y dinero mientras trabajaba con DarkSide para extorsionar al editor estadounidense. «No entiendo cómo hacer negocios en su plataforma», se quejó en un diálogo de marzo. «Estamos perdiendo mucho tiempo. Y hay otras cosas que hacer. Entiendo que a usted le importa un comino. Si no somos nosotros, otros le darán dinero. Es cantidad, no calidad».
The New York Times tenía acceso al «panel de control» interno que los clientes de DarkSide usaban para organizar y participar en la extorsión. La información fue proporcionada por un delincuente a través de un intermediario. El periódico conserva el nombre de la empresa involucrada en el ataque para evitar represalias por parte de los piratas informáticos.
El acceso al panel de DarkSide ofreció una visión extraordinaria del funcionamiento de una pandilla de habla rusa y se convirtió en el rostro del ciberdelito mundial. Diseñado en blanco y negro, el tablero brinda acceso a la lista de resultados de DarkSide, así como a un marcador de ganancias en tiempo real y una conexión de atención al cliente, con el cual los afiliados podrían elaborar estrategias para presionar a las víctimas.
El panel todavía estaba funcionando el 20 de mayo cuando un reportero de un periódico se conectó, a pesar de que DarkSide había emitido un comunicado una semana antes diciendo que estaba cerrando. Un empleado de atención al cliente respondió casi de inmediato a una solicitud de chat enviada desde la cuenta de Woris del reportero. Pero cuando se identificó como periodista, la cuenta fue bloqueada de inmediato.
Incluso antes del ataque Colonial Pipeline, el negocio de DarkSide estaba en auge. Según la firma de ciberseguridad Elliptic, que ha estudiado las carteras de bitcoins de DarkSide, la pandilla ha recibido alrededor de $ 15,5 millones (R $ 81 millones) en bitcoins desde octubre de 2020, con otros $ 75 millones (R $ 391 millones. 8 millones) destinados a los afiliados. Las altas ganancias para una banda criminal tan joven -DarkSide se fundó en agosto pasado, según investigadores de la industria de la seguridad informática- subrayan cómo el hampa criminal de habla rusa ha proliferado en los últimos años.
Este crecimiento fue posibilitado por el auge de las criptomonedas como bitcoin, que hizo que la necesidad de «mulas» para transportar dinero tradicional, que a veces tenía que pasar de contrabando a través de fronteras físicas, fuera prácticamente obsoleta. En solo unos años, según los expertos en ciberseguridad, el ransomware se ha convertido en un negocio altamente organizado y compartimentado.
Hay algunos piratas informáticos que irrumpen en los sistemas informáticos y otros cuyo trabajo es tomar el control de ellos. Hay expertos en soporte tecnológico y blanqueo de capitales. Muchas bandas criminales incluso tienen portavoces oficiales que se comunican con los medios y contactos.
En muchos sentidos, la estructura organizativa de la industria rusa de ransomware imita franquicias como McDonald’s o Hertz, que reducen las barreras de entrada y permiten la fácil duplicación de prácticas y técnicas comerciales comprobadas. El acceso al panel de control de DarkSide era lo único que se necesitaba para establecer un negocio como afiliado a una pandilla y, si lo deseaba, descargar una versión funcional del ransomware utilizado en el ataque al oleoducto Colonial.
The New York Times no compró este software, pero el editor ofreció una idea de cómo es ser víctima de un ataque DarkSide. Lo primero que ve la víctima en la pantalla es una carta pidiendo rescate, con instrucciones y amenazas leves. «Bienvenido a DarkSide», dice la carta en inglés, antes de explicar que las computadoras y los servidores de la víctima se han cifrado y que se han eliminado todas las copias de seguridad.
Para descifrar la información, las víctimas son dirigidas a un sitio web donde deben ingresar una contraseña especial. La carta deja en claro que pueden llamar a un equipo de soporte técnico si tienen un problema. «!!! PELIGRO !!! NO MODIFIQUE ni intente RECUPERAR archivos usted mismo», se lee en la carta. «¡NO PODEMOS RESTAURARLOS!»
El software de DarkSide no solo bloquea los sistemas informáticos de las víctimas, sino que roba datos de propiedad, lo que permite a los afiliados solicitar pagos para desbloquear el sistema y no divulgar información confidencial de la empresa. En la conversación que vio el periódico, un empleado de atención al cliente de DarkSide se jactó ante Woris de su participación en más de 300 ataques de extorsión y trató de tranquilizarlo. «Estamos tan interesados en los ingresos como usted», dijo el funcionario.
Juntos, crearon el plan para presionar a la editorial, una empresa familiar de casi un siglo con unos pocos cientos de empleados. Las negociaciones de rescate con DarkSide duraron 22 días y se llevaron a cabo por correo electrónico o en el blog de la pandilla con un hacker o hackers que hablaban mal inglés, dijo el portavoz de la compañía. Las negociaciones comenzaron en marzo debido a la negativa de la editorial a pagar el rescate de 1,75 millones de dólares (9,14 millones de reales). DarkSide, al parecer, estaba furioso y amenazó con filtrar la noticia del ataque de extorsión a los medios.
«Ignorar esto es una muy mala estrategia para ustedes. No tienen mucho tiempo», escribió DarkSide en un correo electrónico. «Después de dos días, publicaremos su blog y enviaremos esta noticia a los principales medios de comunicación. Y todos verán su catastrófica filtración de datos».
A pesar de las tácticas forzadas, DarkSide tenía una cierta orientación moral. En una lista de reglas publicadas en el panel, el grupo dijo que cualquier ataque a objetivos educativos, médicos o gubernamentales estaba prohibido.
Otra regla importante adoptada por DarkSide, junto con la mayoría de los otros grupos de ciberdelincuentes rusos, destaca una realidad sobre el ciberdelito en la era moderna. Cualquiera que viva en la Comunidad de Estados Independientes, una reunión de ex repúblicas soviéticas, está exento de ataque.
Los expertos en ciberseguridad dicen que la regla de «no trabajar en .ru», una referencia al sufijo de dominio nacional de Rusia, se ha convertido en una práctica estándar en la comunidad de hackers de habla rusa para evitar involucrarse con la policía del país. Las autoridades rusas han dejado en claro que rara vez enjuiciarán a los ciberdelincuentes por ataques extorsivos y otros delitos cibernéticos fuera de Rusia.
Como resultado, Rusia se ha convertido en un centro global para tales ataques, dicen los expertos. La firma de ciberseguridad Recorded Future rastrea alrededor de 25 grupos de ransomware, de los cuales se dice que aproximadamente 15, incluidos los cinco principales, tienen su sede en Rusia o en cualquier otro lugar de la ex Unión Soviética, dijo el experto en inteligencia de una firma, Dmitri Smilianets.
Este mes, el equipo de soporte de DarkSide intentó responder a partes del sistema que estaban bloqueadas, lo que el grupo atribuyó, sin evidencia, a la presión de Estados Unidos. En una publicación del 8 de mayo, el día después de que se publicitó el ataque colonial, el equipo de DarkSide parecía esperar cierta simpatía de sus afiliados.
«Ahora existe la opción de dar propina al soporte sobre ‘pagos'», decía la publicación. «Es opcional, pero el soporte estará feliz :)». Días después de que el FBI identificara públicamente a DarkSide como el culpable, Woris, que aún no había recibido el pago del editor, recurrió al servicio de atención al cliente, aparentemente preocupado. «Hola, ¿cómo estás?», Escribió. «Los tienen mal».
Fue la última comunicación que tuvo Woris con DarkSide. Unos días después, apareció un mensaje en el panel de control que decía que el grupo no estaba cerrando exactamente, como había dicho antes, sino vendiendo su información para que otros piratas informáticos pudieran seguir adelante con el lucrativo negocio del ransomware.
«El precio es negociable», escribió DarkSide. «Con un programa de asociación análogo, es posible generar ganancias de US $ 5 millones (R $ 26,1 millones) mensuales».
Noticia de Brasil