Los chats secretos que muestran cómo DarkSide se convirtió en una potencia de ransomware
Hace unas semanas el grupo de ransomware conocido como DarkSide atacó al propietario de un importante oleoducto estadounidense, interrumpiendo todas sus operaciones. Sin embargo, unas semanas antes el grupo estaba atacando a una pequeña empresa familiar estadounidense dedicada a servicios editoriales.
Trabajando con un hacker que se hacía llamar Woris, DarkSide lanzó una serie de ataques destinados a desactivar los sitios web de la empresa. La empresa mencionada anteriormente trabaja principalmente con clientes de educación primaria. En la negociación, Darkside advertía que debían pagar una demanda de rescate de 1.75 millones de dólares.
El grupo Incluso amenazó con contactar a los clientes de la compañía para advertirles falsamente que habían obtenido información. DarkSide advirtió que los pedófilos podrían usar la información para hacer tarjetas de identificación falsas que les permitirían ingresar a las escuelas.
Woris pensó que esta última táctica era un toque particularmente agradable.
“Me reí intensamente sobre las identificaciones filtradas que posiblemente los pedófilos usen para ingresar a la escuela”. “No pensé que los asustaría tanto”.
Extracto de una conversación secreta en ruso entre Woris y DarkSide.
El ataque de DarkSide al propietario del oleoducto Colonial Pipeline no solo empujó al grupo al escenario internacional. También puso de relieve una industria criminal en rápida expansión con sede principalmente en Rusia que se ha transformado en una especialidad. Esta especialidad exige habilidades de hacking altamente sofisticadas a un proceso similar a una cinta transportadora. Ahora, incluso los pequeños grupos delictivos y los ciberdelincuentes con capacidades informáticas mediocres pueden representar una amenaza potencial para la seguridad.
Cibercriminales antes vs ahora
Antes los ciberdelincuentes tenían que jugar juegos psicológicos para engañar a las personas para que entregaran contraseñas bancarias. Además, debían tener los conocimientos técnicos para desviar dinero a cuentas personales seguras. Ahora prácticamente cualquier persona puede obtener ransomware y subirlo en un sistema informático comprometido. Para poder lograr su objetivo utilizan hacks aprendidos en tutoriales de YouTube o con la ayuda de grupos como DarkSide.
“Cualquier tonto puede ser un ciberdelincuente ahora” afirma Sergei A. Pavlovich, un ex hacker que cumplió 10 años de prisión en su Bielorrusia natal por delitos cibernéticos. “La barrera intelectual de entrada se ha vuelto extremadamente baja”.
En este artículo echaremos un vistazo a las comunicaciones secretas de DarkSide en los meses previos al ataque a Colonial Pipeline. Estas comunicaciones revelan una operación criminal en aumento, que genera millones de dólares en pagos de rescate cada mes.
DarkSide ofrece lo que se conoce como “ransomware como servicio”. En el ransomware como servicio un desarrollador de malware cobra una tarifa de usuario a los supuestos afiliados como Woris. Los afiliados pueden no tener las habilidades técnicas para crear realmente ransomware, pero aun así son capaces de entrar en la red de la víctima.
DarkSide a fondo
Los servicios de DarkSide incluyen brindar soporte técnico para ciberdelincuentes, negociar con objetivos como la editorial, procesar pagos y diseñar campañas de presión personalizadas. Esto a través del chantaje y otros medios, como ataques secundarios a sitios web.
Las tarifas de usuario de DarkSide eran variables: 25% por cualquier rescate de menos de $500,000 hasta un 10% por rescates de más de $5 millones.
Como una operación start-up, al parecer, DarkSide tuvo que lidiar con los problemas de crecimiento. En la charla con alguien del servicio de atención al cliente del grupo, Woris se quejó de que la plataforma de ransomware era difícil de usar. Esto le costaba tiempo y dinero mientras trabajaba con DarkSide para extorsionar en efectivo a la editorial estadounidense.
“Ni siquiera entiendo cómo hacer negocios en su plataforma”, se quejó en una conversación en marzo.
Sitio de afiliados
The New York Times obtuvo acceso al “panel” interno que los clientes de DarkSide usaban para organizar y llevar a cabo ataques de ransomware.
El acceso al panel de DarkSide ofrece una visión extraordinaria del funcionamiento interno del grupo de habla rusa que ganó notoriedad mundial recientemente.
El panel es blanco y negro y le da a los usuarios acceso a la lista de objetivos de DarkSide. También muestra un indicador de ganancias y un contacto con el personal de atención al cliente del grupo.
El panel todavía estaba activo el 20 de mayo, cuando un reportero del Times inició sesión. Estaba activo a pesar de que DarkSide emitió un comunicado una semana antes diciendo que cerrarían operaciones.
Incluso antes del ataque a Colonial Pipeline, el negocio de DarkSide estaba en auge. Según la firma de ciberseguridad Elliptic, que ha estudiado las billeteras de Bitcoin de DarkSide, el grupo ha obtenido buenas ganancias. DarkSide ha recibido alrededor de $15.5 millones en Bitcoin desde octubre de 2020, con otros $75 millones destinados a afiliados.
Las ganancias para una banda criminal tan joven subrayan cómo la clandestinidad ciberdelincuente en idioma ruso se ha multiplicado en los últimos años. Según expertos de ciberseguridad DarkSide comenzó a operar en agosto pasado.
Uso de criptomonedas
Ese crecimiento ha sido instigado por el aumento del valor de las criptomonedas como el Bitcoin. El Bitcoin han hecho que la necesidad de mulas de dinero de la vieja escuela fuera prácticamente obsoleta. Antiguamente, las mulas tenían que contrabandear efectivo a través de las fronteras físicamente
En solo un par de años, dicen los expertos en ciberseguridad, el ransomware se ha convertido en un negocio fuertemente organizado y altamente compartimentado.
Hay ciertos ciberdelincuentes que irrumpen en los sistemas informáticos y otros cuyo trabajo es tomar el control de ellos. Hay especialistas en soporte técnico y expertos en blanqueo de capitales. Muchas bandas criminales incluso tienen portavoces oficiales que se ocupan de las relaciones con los medios y la divulgación.
En muchos sentidos, la estructura organizativa de la industria rusa de ransomware imita franquicias, como McDonald’s o Hertz. Estas flexibilizan las barreras de entrada y permiten la fácil duplicación de prácticas y técnicas comerciales comprobadas. El acceso al panel de DarkSide era todo lo que se necesitaba para configurar una cuenta como afiliado de DarkSide. Y, si lo deseabas, podías descargar una versión funcional del ransomware utilizado en el ataque a Colonial Pipeline.
Si bien The New York Times no adquirió ese software, la empresa editorial mostró lo que era ser víctima de un ataque del ransomware DarkSide.
Ataque
Lo primero que ve la víctima en la pantalla es una nota de rescate con instrucciones y suaves amenazas.
“Bienvenido a DarkSide”, dice la nota en inglés. Esto antes de explicar que las computadoras y los servidores de la víctima se han cifrado y se han eliminado las copias de seguridad.
Para descifrar la información, las víctimas son dirigidas a un sitio web donde deben ingresar una clave de acceso especial. La nota deja en claro que pueden llamar a un equipo de soporte técnico si tienen algún problema.
“!!!PELIGRO!!! NO MODIFIQUES ni intentes RECUPERAR ningún archivo tú mismo”, dice la carta. “NO PODREMOS RESTAURARLO”.
El software DarkSide no solo bloquea los sistemas informáticos de las víctimas, sino que también roba datos de propiedad. Robar datos permite a los afiliados exigir un pago no solo por desbloquear los sistemas, sino también por abstenerse de divulgar información confidencial de la empresa.
En el registro de chat observado por The Times, un empleado de atención al cliente de DarkSide se jactó ante Woris. El empleado afirmó que había estado involucrado en más de 300 ataques de ransomware y trató de tranquilizarlo.
“Estamos tan interesados en las ganancias como tú”, dijo el empleado.
Juntos, tramaron el plan para presionar a la editorial, una empresa familiar con casi un siglo de antigüedad con solo unos pocos cientos de empleados.
Recurriendo al chantaje
Además de desactivar los sistemas informáticos de la empresa y emitir la amenaza pedófila, lo ciberdelincuentes fueron más allá. El soporte técnico de Woris y DarkSide redactó una carta de chantaje para enviarla a los funcionarios escolares y a los padres que eran clientes de la empresa.
“Estimado personal escolar y padres”, decía la carta, “no tengo nada personal en su contra, es solo un negocio”.
Además de esto, utilizando un nuevo servicio que DarkSide presentó en abril, planearon desactivar los sitios web de la empresa con los llamados ataques DDOS. Recordemos que en los ataques DDoS que los ciberdelincuentes sobrecargan la red de una empresa con solicitudes falsas.
Las negociaciones sobre el rescate con DarkSide duraron 22 días y se llevaron a cabo por correo electrónico o en el blog del grupo. Las negociaciones se rompieron en algún momento de marzo debido a la negativa de la compañía a pagar el rescate de 1.75 millones de dólares. DarkSide, al parecer, estaba furioso y amenazó con filtrar la noticia del ataque de ransomware a los medios de comunicación.
“Ignorar es una muy mala estrategia para ti. No tienes mucho tiempo”, escribió DarkSide en un correo electrónico. “Después de dos días, haremos pública su información y enviaremos esta noticia a todos los grandes medios de comunicación. Y todo el mundo verá una filtración de datos catastrófica “.
A pesar de todas las tácticas chantajistas, DarkSide no carecía del todo de una brújula moral. En una lista de reglas publicadas en el panel, el grupo afirma que cualquier ataque contra objetivos educativos, médicos o gubernamentales estaba prohibido.
En las negociaciones, DarkSide trató de ser educado y el grupo esperaba lo mismo de los ciberdelincuentes que usaban sus servicios. Después de todo, el grupo “atesora mucho nuestra reputación”.
Reglas de DarkSide
“Está prohibido ofender o ser grosero con los objetivos sin ningún motivo”, dijo DarkSide. “Nuestro objetivo es ganar dinero mediante un diálogo normal y tranquilo”.
Otra regla importante adoptada por DarkSide, junto con la mayoría de los otros grupos de ciberdelincuentes de habla rusa es la limitación geográfica. Cualquiera que viva en la Comunidad de Estados Independientes, un grupo de ex repúblicas soviéticas, está estrictamente fuera del alcance de los ataques.
Los expertos en ciberseguridad dicen que la restricción de “no trabajar en .ru”, una referencia al sufijo de dominio nacional de Rusia, se ha vuelto de rigor en la comunidad de hacking de habla rusa. Esto para evitar problemas con las leyes rusas. Las autoridades rusas han dejado en claro que rara vez enjuiciarán a los ciberdelincuentes por ataques de ransomware y otros delitos cibernéticos fuera de Rusia.
Papel de Rusia
Como resultado, Rusia se ha convertido en un centro global de ataques de ransomware, dicen los expertos. La firma de ciberseguridad Recorded Future, rastrea unos 25 grupos de ransomware. Se cree que unos 15, incluidos los cinco más grandes, tienen su sede en Rusia o en cualquier otro lugar de la ex Unión Soviética.
“Se creó una atmósfera en Rusia en la que los ciberdelincuentes se sentían muy bien y podían prosperar. Cuando alguien se siente cómodo y confiado en que no será arrestado al día siguiente, comienza a actuar con más libertad y descaro”.
Dmitry Smilyanets – experto en inteligencia de amenazas de Recorded Future
Smilyanets es él mismo un ex ciberdelincuente de Rusia que pasó cuatro años bajo custodia federal por delitos cibernéticos. Rusia en particular se ha convertido en un “invernadero” para los ciberdelincuentes, afirmó.
El presidente de Rusia, Vladimir Putin, ha dejado las reglas perfectamente claras. Cuando la periodista estadounidense Megyn Kelly lo presionó en una entrevista de 2018 sobre por qué Rusia no arrestaba los ciberdelincuentes que se cree que interfirieron en las elecciones estadounidenses, respondió que no había nada por lo que arrestarlos.
“Si no violaron la ley rusa, no hay nada por lo que procesarlos en Rusia. Finalmente, debes darte cuenta de que la gente en Rusia vive según las leyes rusas, no según las estadounidenses”.
Vladimir Putin
Postura de Estados Unidos
Después del ataque Colonial, el presidente Biden dijo que los funcionarios de inteligencia tenían evidencia de que los culpables eran de Rusia. Empero, aún no habían encontrado ningún vínculo con el gobierno.
“Hasta el momento no hay evidencia concreta por parte de nuestra gente de inteligencia de que Rusia esté involucrada. Sin embargo, hay evidencia de que los actores y el ransomware está en Rusia”, afirmó, y agregó que las autoridades rusas “tienen cierta responsabilidad de lidiar con esto.”
En mayo, el personal de soporte de DarkSide se apresuró a responder al cierre de partes del sistema. el grupo atribuyó, sin evidencia, a la presión de Estados Unidos. En una publicación del 8 de mayo, el día después de que el ataque a Colonial se hiciera público, el personal de DarkSide parecía esperar algo de simpatía por parte de sus afiliados.
Cierre de operaciones
“Ahora existe la opción de dejar una propina para Soporte en ‘pagos'”, decía la publicación. “Es opcional, pero el equipo de soporte estaría feliz :)”.
Días después de que el FBI identificara públicamente a DarkSide como el culpable, Woris, se contactó nuevamente. Él aún no había obtenido el pago de la editorial, y contactó al servicio al cliente, aparentemente preocupado.
“Hola, ¿cómo te va?”, Escribió. “Te golpearon fuerte”.
Fue la última comunicación que tuvo Woris con DarkSide.
Días después, apareció un mensaje en el panel que decía que el grupo no cerraría exactamente, como había dicho. El grupo simplemente estaba vendiendo su infraestructura para que otros ciberdelincuentes pudieran continuar con el lucrativo negocio del ransomware.
“El precio es negociable”, escribió DarkSide. “Al lanzar completamente un programa de asociación análogo, es posible obtener ganancias de $5 millones al mes”.