Banda de ransomware retiró apresuradamente $7 millones en Bitcoin
Casi $7 millones en Bitcoin en una billetera controlada por los operadores de ransomware DarkSide se movieron recientemente. Los movimientos parecen una montaña rusa de lavado de dinero.
Los fondos se han estado moviendo a múltiples billeteras nuevas desde ayer. Estos se han trasferido en cantidades menores en cada transacción para hacer que el dinero sea más difícil de rastrear.
El momento coincide con el desmantelamiento de la infraestructura del ransomware REvil después de incautar el servicio oculto Tor de la banda.
El flujo del blanqueo de capitales
La banda de ransomware DarkSide extorsionó a decenas de víctimas por decenas de millones de dólares, siendo su ataque más famoso el 7 de mayo contra el oleoducto más grande de Estados Unidos, Colonial Pipeline.
Omri Segev Moyal, CEO de la empresa de ciberseguridad Profero, tuiteó que 107 bitcoins de una billetera de DarkSide se movieron a una nueva billetera.
En cuanto al hash de la transacción, el movimiento comenzó el 21 de octubre de 2021 a las 7:05 a.m. (GMT). El valor inicial de la transacción fue un poco menos de $7 millones.
En una publicación, la compañía de análisis de blockchain Elliptic mostró cómo la criptomoneda de DarkSide fluyó a través de diferentes billeteras, reduciéndose de 107.8 BTC a 38.1 BTC.
Mover los fondos de esta manera es una técnica típica de lavado de dinero que dificulta el rastreo. Esta técnica ayuda a los ciberdelincuentes a convertir la criptomoneda en dinero fiduciario.
Elliptic dice que el proceso aún continúa y que ya se han transferido pequeñas cantidades de dinero a exchanges conocidos.
Mover el dinero en este momento puede ser el resultado de lo que sucedió con la operación de ransomware REvil. La banda cerró operaciones por segunda vez este año después de descubrir que sus servicios habían sido comprometidos por un tercero.
El ataque a REvil se produjo después de que REvil atacara la plataforma Kaseya que servía a más de 1,000 empresas en todo el mundo. Mientras el FBI estaba a punto de interrumpir REvil, los ciberdelincuentes cerraron su operación.
Cuando REvil reinició su negocio, restauraron las copias de seguridad que habían sido infiltradas por el FBI antes de que la banda cerrara nuevamente.
Dinero de DarkSide recuperado por el FBI
El ataque de DarkSide a Colonial Pipeline fue el último de DarkSide con este nombre. Hasta entonces, la banda de ransomware había recaudado al menos 90 millones de dólares de sus víctimas.
Sin embargo, eligieron mal su último objetivo, ya que sus operaciones abastecían de productos petrolíferos a los mercados y refinerías de la costa este de Estados Unidos, lo que representa el 45% de todo el combustible consumido en la región.
Incluso si Colonial Pipeline pagó el rescate de 75 BTC (alrededor de $ 5 millones en ese momento), las consecuencias del ataque fueron demasiado para que el Departamento de Justicia no lo tratara con la máxima prioridad.
El 7 de junio, el Departamento de Justicia anunció que recuperó 63.7 bitcoins del rescate que Colonial Pipeline pagó a DarkSide para recuperar sus sistemas lo más rápido posible.
DarkSide luego abandonó el negocio del ransomware solo para emerger como BlackMatter. En julio, el actor de amenazas renombrado estaba buscando comprar acceso a redes corporativas.
Recorded Future anunció en ese momento a BlackMatter diciendo que “incorporó en sí mismo las mejores características de DarkSide, REvil y LockBit”.
Con el nuevo nombre, los actores del ransomware continuaron atacando a grandes empresas como el gigante de la tecnología médica Olympus y la organización New Cooperative Farmers.
En un aviso conjunto publicado recientemente, la CISA, el FBI y la NSA proporcionaron una guía de mitigación. Esta guía puede ayudar a las organizaciones a defenderse de los ataques del ransomware BlackMatter.