Cómo el hacking se convirtió en un servicio profesional en Rusia
La operación de hacking más destacada de DarkSide pudo ser la última: el mes pasado, el grupo lanzó un ataque de ransomware contra Colonial Pipeline. Colonial Pipeline proporciona hasta la mitad del suministro de combustible para la costa este de los Estados Unidos.
A medida que aumentaban los efectos del ataque, la empresa cerró el oleoducto y eso provocó un aumento en el precio de la gasolina. Asimismo, hubo días de escasez generalizada de combustible. El presidente Joe Biden declaró un estado de emergencia por el incidente. Según los informes, DarkSide se fue con un rescate de cinco millones de dólares, pero recibir el pago parece haber tenido un costo.
El 14 de mayo, el sitio de DarkSide dejó de funcionar y el grupo dijo que había perdido el acceso a muchas de sus herramientas de comunicaciones y pagos. Esto quizás fue resultado de las represalias de los Estados Unidos o de una decisión de los miembros que financian a la organización de retirarse ellos mismos.
DarkSide era una empresa denominada ransomware como servicio, lo que significa que en realidad no realizaba el trabajo de llevar a cabo ciberataques. En cambio, proporciona a los ciberdelincuentes afiliados una variedad de servicios, desde el manejo de negociaciones hasta el procesamiento de pagos.
DarkSide tenía un blog y una interfaz fácil de usar para que los ciberdelincuentes cargaran y publicaran información robada. Cuando DarkSide debutó en los foros de ciberdelincuencia rusos, en agosto pasado, su anuncio de lanzamiento sonó como un discurso de un emprendedor tecnológico.
“Creamos DarkSide porque no encontramos el producto perfecto para nosotros. Ahora lo tenemos”.
El grupo estableció una escala móvil de tarifas. Estas iban desde el 25% de los rescates por valor de menos de medio millón de dólares hasta 10% de los de cinco millones o más.
Ransomware como servicio
El ransomware como servicio, al igual que la economía de la tecnología moderna en su conjunto, ha evolucionado. Evolucionó para dar cuenta de un alto grado de especialización, y cada participante en el mercado proporciona habilidades discretas.
Una operación como el ataque de DarkSide contra Colonial Pipeline comienza con un individuo o equipo de ciberdelincuentes conocidos como “agentes de acceso individual”. Estos agentes ingresan en la red de una empresa objetivo.
Desde ese punto, otro hacker se mueve lateralmente al controlador de dominio, el servidor a cargo de la seguridad y el acceso de los usuarios. Y, además instala allí el código del ransomware. DarkSide, entre sus muchos servicios, ofrecía su propia marca de malware para bloquear y extraer datos.
Una vez que los servidores de la víctima han sido vulnerados y sus sistemas informáticos cifrados, los ciberdelincuentes entregan las cosas a los operadores de un ransomware como servicio. Es decir, un equipo de servicio, que gestiona todo lo demás. Esto incluye determinar el valor del rescate, la comunicación con las organizaciones víctimas y la organización de los detalles del pago.
“Esas son las cosas con las que tú, como hacker, no quieres lidiar. No tienes la paciencia ni las habilidades sociales”.
Mark Arena, director ejecutivo de Intel 471, una firma privada de ciberinteligencia.
El “paraíso” ruso
El 10 de mayo, Biden dijo que la inteligencia estadounidense creía que DarkSide operaba desde Rusia. incluso si “no había evidencia” que lo vinculara con el estado ruso. Al igual que muchas fuentes de ingresos en el inframundo de la ciberdelincuencia, el ransomware como servicio está dominado en gran medida, aunque no del todo, por ciberdelincuentes de habla rusa.
La mayoría de grupos de ciberdelincuentes operan desde Rusia y otros estados exsoviéticos. Hay muchas excepciones, como los hackers estatales de Corea del Norte, que se especializan en el robo de bancos en línea.
Las razones de esta situación se remontan al colapso de la Unión Soviética, en los años noventa. En aquel momento, ingenieros, programadores y técnicos altamente competentes quedaron repentinamente a la deriva. Décadas más tarde, la historia no ha cambiado mucho.
Las generaciones más jóvenes de rusos tienen acceso a educación especializada en física, informática y matemáticas. Empero, tienen pocos medios para aprovechar esos talentos, al menos no para los tipos de salarios disponibles para los programadores en, digamos, Silicon Valley.
“¿Y qué ven cuando se conectan? Que es posible con sus conocimientos y habilidades ganar millones de dólares, así como así. Un cierto porcentaje de estas personas decide que vale la pena infringir la ley”.
Sergey Golovanov, jefe de expertos en seguridad de Kaspersky Lab, una empresa de ciberseguridad con sede en Moscú.
Sin miedo a las autoridades
Una carrera así puede parecer aún más atractiva dado que los riesgos parecen bastante pequeños, al menos si se enfocan en objetivos occidentales. Aunque las autoridades rusas realizan periódicamente operaciones dirigidas a ciberdelincuentes nacionales, generalmente ignoran a aquellos que operan desde Rusia para infiltrarse en redes extranjeras.
Eso es en parte una función de la jurisdicción legal y los medios de investigación. Si no hay una víctima en territorio ruso que pueda presentarse en persona para presentar un informe policial y ofrecer pruebas para un juicio penal, las autoridades no tienen mucho que perseguir.
“Incluso si la aplicación de la ley de Rusia fuese muy imparcial, no habría nada que investigar”.
Alexey Lukatsky, destacado consultor de ciberseguridad en Moscú.
Para asegurarse de que no meterse en problemas en su propio territorio, las bandas de ransomware tienen reglas muy claras. La mayoría de los sitios de ransomware como servicio prohíben dirigirse a empresas o instituciones rusas o dentro del territorio de la antigua Unión Soviética.
Los ciberdelincuentes tienen una regla: no trabajen en el dominio .ru, dice Golovanov. En el caso de DarkSide, parte de su código de malware realizaba escaneos en busca de idiomas instalados en los dispositivos de destino. Si detectaba ruso u otro idioma común en los países postsoviéticos, no se desplegaba y se borraba de la máquina.
Enemigos de mis enemigos
Pero también hay otra razón muy importante por la que los ciberdelincuentes pueden sentirse relativamente libres de operar desde el interior de Rusia. Los servicios de seguridad de Rusia están tentados a ver a los ciberdelincuentes que atacan a las corporaciones, gobiernos e individuos occidentales como un recurso. En 2014, el FBI acusó formalmente a un hacker ruso llamado Evgeniy Bogachev. Bogachev presuntamente robó cientos de millones de dólares de cuentas bancarias en todo el mundo.
Los fiscales estadounidenses pidieron cooperación a sus homólogos rusos. Sin embargo, en lugar de arrestar a Bogachev, las autoridades rusas utilizaron sus infracciones. Las autoridades buscaron archivos y correos electrónicos en dispositivos pertenecientes a empleados y contratistas gubernamentales en Estados Unidos, Georgia y Turquía.
Como escribió The New York Time, el estado ruso estaba, en efecto, “injertando una operación de inteligencia en un esquema criminal cibernético de gran alcance. Es decir, se ahorró el arduo trabajo de hackear las propias computadoras”.
En un documento de política de 2012 titulado “Más allá de la atribución”, Jason Healey, director de la Cyber Statecraft Initiative en el Atlantic Council, brindó su postura. Él propuso evaluar la responsabilidad del estado en los ataques de hacking en un continuo que va desde “prohibido por el estado” hasta “integrado por el estado”.
No está claro exactamente dónde cae el ataque DarkSide contra Colonial Pipeline en esa línea. Tampoco sabemos qué quiso decir Biden cuando dijo que Rusia “tiene alguna responsabilidad de lidiar con esto”.
Hasta ahora, la evidencia disponible públicamente sugiere una categorización, en la taxonomía de Healey, de “estado ignorado”. Es decir que “un gobierno nacional conoce los ataques de terceros, pero, como cuestión de política, no está dispuesto a tomar ninguna acción oficial”.
Respuesta de Rusia
Por su parte, el Kremlin ha rechazado cualquier sugerencia de que tenga alguna culpa por no actuar para frenar las actividades de grupos como DarkSide.
“Rusia no tiene nada que ver con esto”, dijo el portavoz de Vladimir Putin, Dmitry Peskov. Pero las acusaciones de participación rusa en importantes operaciones de hacking se han convertido, en este punto, en un lugar común. Hace apenas un par de meses, Biden sancionó a Rusia por la infracción de SolarWinds. En ese incidente al menos nueve agencias federales diferentes y un centenar de empresas privadas vieron comprometidas sus redes por los servicios de inteligencia rusos. “En Rusia, estamos acostumbrados a las acusaciones de que hackeamos a todos y todo”, afirma con ironía Lukatsky.
Mientras tanto, los foros de ciberdelincuencia ruso que históricamente funcionaron como un mercado para DarkSide prohibieron al grupo en sus portales. La palabra ‘rescate’ “se ha vuelto peligrosa y tóxica”, escribió un administrador, señalando que lo último que quieren los ciberdelincuentes rusos y sus asociados es crear problemas para el Kremlin.
“Peskov se ve obligado a poner excusas frente a nuestros ‘amigos’ en el extranjero. Esto es una tontería y una señal de que las cosas han ido demasiado lejos”.
Pero nadie espera que la práctica desaparezca. Varios de los equipos de ransomware como servicio más grandes anunciaron que pasarán a operar en modo “privado”. Es decir, dejaran de hacer publicidad en la web oscura y solo aceptaran como ciberdelincuentes afiliados a quienes conocen y en quienes confían.
También han dicho que tomarán un papel más activo en la investigación y aprobación de objetivos con anticipación. En cuanto a DarkSide, es probable que se reagrupe y cambie de nombre como un nuevo producto. Será una especie de recuperación del mundo tecnológico de un apagón público.
“Estas personas no se quedan sin trabajo para siempre”.
Dmitry Volkov, director de tecnología de Group-IB, empresa de ciberseguridad de Moscú.
Conclusión
El mayor peligro del mercado de ransomware es lo bien que funciona, al menos por ahora. En el caso del hackeo de Colonial Pipeline por parte de DarkSide, casi cinco millones de dólares es a la vez un gran día de pago para los ciberdelincuentes y dulces para Colonial. Esto en comparación con lo que le habría costado a la compañía petrolera, que gana más de mil millones de dólares en ingresos anuales. Definitivamente, no podía darse el lujo de que sus operaciones siguieran sin funcionar.
Un análisis realizado por Elliptic, una empresa de seguridad de criptomonedas, encontró que una billetera Bitcoin abierta por DarkSide había recibido 17.5 millones de dólares desde marzo. Esto incluía el pago de Colonial Pipeline.
La banda se estaba acercando rápidamente a la marca de cien millones de dólares, a menos que ya lo haya hecho y simplemente no lo sepamos. Esto plantea una pregunta diferente y más importante: ¿Cuánto dinero tienes que extraer de una economía nacional antes de que el ransomware se convierta en una amenaza para la seguridad nacional de cualquier país?