Tips
- El grupo de ransomware DarkSide ha obtenido al parecer más de $90 millones de Bitcoin en pagos de rescates.
- El software de DarkSide se utilizó en el ataque Colonial Pipeline de este mes, aunque el grupo afirma haber cerrado desde entonces.
El Ransomware ha vuelto a ser un tema importante en las noticias últimamente tras el ataque a la empresa estadounidense de oleoductos Colonial Pipeline, cuya red fue cerrada por hackers. Al parecer, la empresa pagó a DarkSide, descrito por el gobierno estadounidense como un grupo de hackers de "ransomware como servicio" (RaaS), cerca de 5 millones de dólares en criptomonedas para desbloquear su red.
Sin embargo, eso puede haber sido una gota de agua en el botín de ransomware de DarkSide hasta la fecha. La empresa de análisis Blockchain Elliptic ha publicado hoy un informe en el que afirma que las wallets Bitcoin afiliadas a DarkSide han recibido más de $90 millones en pagos de rescates hasta la fecha.
Tras un informe de DarkTracer que afirma que 99 organizaciones han sido infectadas con el ransomware DarkSide, Elliptic descubrió que se habían realizado 47 pagos—cada uno de ellos procedente de un wallet distinto—a los wallets de Bitcoin de DarkSide. En total, se pagaron poco más de $90 millones en Bitcoin, y la firma sugiere que "aún pueden descubrirse más transacciones, y las cifras aquí presentadas deben considerarse un límite inferior."
El modelo RaaS de DarkSide consiste en que el grupo proporciona el software para los ataques de ransomware a los llamados "afiliados", que se dirigen a empresas de alto valor e intentan infectar y bloquear sus redes informáticas y/o robar datos sensibles. Si el afiliado negocia con éxito el pago del rescate y lo consigue, esa cantidad se reparte entre los socios.
De acuerdo con la empresa de seguridad FireEye, DarkSide se quedaba con el 25% de un pago de ransomware inferior a $5 millones, o con el 10% para sumas superiores. Basado en el análisis de la blockchain, Elliptic informa de que DarkSide se quedó con alrededor de $15,5 millones del Bitcoin que se le pagó y desembolsó cerca de $74,7 millones de Bitcoin a grupos afiliados.
En el caso del ataque a Colonial Pipeline, la red de la firma provocó escasez de combustible en todo el sureste de Estados Unidos. Bloomberg informó la semana pasada de que Colonial Pipeline realizó un pago de "casi $5 millones" en una "criptomoneda imposible de rastrear" a las pocas horas del ataque, aunque no identificó la moneda. El New York Times confirmó posteriormente que el pago se realizó en Bitcoin.
Elliptic fue la primera en identificar la wallet de Bitcoin de DarkSide, y dijo que recibió 75 BTC de Colonial Pipeline el 8 de mayo. En esa fecha, según los datos históricos de Nomics, 75 BTC habrían tenido un valor aproximado de $4,43 millones. El 11 de mayo, el distribuidor químico alemán Brenntag envió un pago de 78,29 BTC a una wallet afiliada a DarkSide.
DarkSide, que se cree que tiene su sede en Europa del Este o Rusia, ha cerrado y vaciado sus wallets de Bitcoin a raíz del sonado ataque a Colonial Pipeline, que provocó la respuesta del presidente Biden y del gobierno estadounidense. Un miembro del grupo afirmó haber perdido el acceso a muchos de sus servidores, y un correo electrónico enviado a los afiliados de DarkSide señalaba que se cerraba "debido a la presión de los Estados Unidos".
La criptomoneda se utiliza a menudo para los ataques de ransomware debido a la dificultad de rastrear el dinero hasta los delincuentes, aunque algunas monedas—como la moneda centrada en la privacidad Monero—son aún más difíciles de rastrear que otras. La empresa de datos de blockchain Chainalysis informó la semana pasada de que se han pagado más de $81 millones en criptomonedas como rescate en lo que va de 2021, con más de $406 millones en pagos conocidos a lo largo de 2020.