Conversaciones secretas muestran cómo la banda cibernética se ha convertido en una planta de extorsión





Apenas unas semanas antes de que la banda cibern√©tica conocida como DarkSide atacara a un importante propietario de un oleoducto de Estados Unidos, interrumpiendo el suministro de gasolina y combustible para aviones en toda la costa este del pa√≠s, el grupo presion√≥ a un peque√Īo editor familiar en el Medio Oeste.





Trabajando con un hacker que sirvió a Woris, DarkSide lanzó una serie de ataques destinados a bloquear los sitios web del editor, que trabaja principalmente con clientes en educación primaria, si no pagaba un rescate de 1,75 millones de dólares. 14 millones).

Incluso amenaz√≥ con ponerse en contacto con los clientes de la empresa para informar falsamente que hab√≠a obtenido informaci√≥n que, seg√ļn la pandilla, podr√≠a ser utilizada por ped√≥filos para hacer tarjetas de identificaci√≥n falsas para ingresar a las escuelas. Woris encontr√≥ esta √ļltima trama especialmente interesante.

¬ęMe re√≠ con ganas de que los ped√≥filos usen identidades filtradas para ingresar a la escuela¬Ľ, dijo en ruso en una conversaci√≥n secreta con DarkSide obtenida por The New York Times. ¬ęNo pens√© que los asustar√≠a tanto¬Ľ.

El ataque de DarkSide al propietario del oleoducto Colonial Pipeline en Georgia no solo proyectó a la pandilla en el escenario internacional, sino que también iluminó una industria criminal en rápida expansión, con sede principalmente en Rusia, que se ha transformado a partir de una técnica de invasión de computadoras sofisticadas en un proceso de línea de ensamblaje. .

Hoy en d√≠a, incluso los peque√Īos grupos delictivos y los piratas inform√°ticos con capacidades inform√°ticas mediocres pueden representar una amenaza para la seguridad nacional.

Antes, los delincuentes ten√≠an que jugar a juegos mentales para enga√Īar a las personas para que entregaran contrase√Īas bancarias y tuvieran el conocimiento t√©cnico para extraer dinero de cuentas personales seguras. Ahora pr√°cticamente cualquier persona puede obtener ¬ęransomware¬Ľ y cargarlo en un sistema inform√°tico comprometido utilizando trucos que se ven en los tutoriales de YouTube o con la ayuda de grupos como DarkSide.





¬ęCualquier idiota puede ser un ciberdelincuente hoy¬Ľ, dijo Serguei Pavlovich, un ex hacker que pas√≥ diez a√Īos en la c√°rcel en su natal Bielorrusia por delitos en Internet. ¬ęLa barrera intelectual de entrada se ha vuelto extremadamente baja¬Ľ.

Una mirada a las comunicaciones secretas de DarkSide en los meses previos al ataque Colonial Pipeline revela una operación criminal en aumento, que extrae millones de dólares en rescate cada mes.

DarkSide ofrece lo que se llama ¬ęransomware como servicio¬Ľ, en el que un desarrollador de software malicioso (malware) cobra una tarifa a los llamados afiliados como Woris, que pueden no tener las habilidades t√©cnicas para crear realmente ransomware, pero pueden romper en el sistema inform√°tico de la v√≠ctima.

Los servicios de DarkSide incluyen soporte t√©cnico para piratas inform√°ticos, negociaci√≥n con objetivos como el editor, procesamiento de pagos y creaci√≥n de campa√Īas de presi√≥n a medida a trav√©s del chantaje y otros medios, como intrusiones secundarias para paralizar sitios web.

Las tarifas de usuario de DarkSide funcionaron en una escala descendente: 25% para cualquier redenci√≥n inferior a $ 500K (R $ 2,6 millones) al 10% para reembolsos superiores a $ 5 millones (R $ 26,1 millones), seg√ļn la firma de seguridad inform√°tica FireEye.

Como una operación de inicio, DarkSide tuvo que enfrentar problemas crecientes, al parecer. En una conversación con alguien del servicio de atención al cliente del grupo, Woris se quejó de que la plataforma de ransomware era difícil de usar, lo que le costaba tiempo y dinero mientras trabajaba con DarkSide para extorsionar a la editorial estadounidense.

¬ęNo entiendo c√≥mo hacer negocios en su plataforma¬Ľ, se quej√≥ en un di√°logo de marzo. ¬ęEstamos gastando mucho tiempo. Y hay otras cosas que hacer. Entiendo que a usted no le importa un comino. Si no somos nosotros, otros le dar√°n dinero. Es cantidad, no calidad¬Ľ.

El New York Times Times ten√≠a acceso al ¬ętablero¬Ľ interno que los clientes de DarkSide usaban para organizar y participar en la extorsi√≥n. La informaci√≥n de acceso fue proporcionada al peri√≥dico por un ciberdelincuente a trav√©s de un intermediario. The New York Times conserva el nombre de la empresa involucrada en el ataque para evitar represalias por parte de los piratas inform√°ticos.

El acceso al panel de DarkSide ofreci√≥ una visi√≥n extraordinaria del funcionamiento interno de una pandilla de habla rusa y se convirti√≥ en el rostro del ciberdelito mundial. Dise√Īado en blanco y negro, el tablero le dio al usuario acceso a la lista de aciertos de DarkSide, as√≠ como un marcador de ganancias en tiempo real y una conexi√≥n con el personal de atenci√≥n al cliente del grupo, con quien los afiliados podr√≠an elaborar estrategias para presionar a sus v√≠ctimas.

El panel todavía estaba funcionando el 20 de mayo cuando un reportero de un periódico se conectó, a pesar de que DarkSide había emitido un comunicado una semana antes diciendo que estaba cerrando. Un empleado de servicio al cliente respondió casi de inmediato a una solicitud de chat enviada desde la cuenta de Woris por el reportero. Pero cuando se identificó como periodista, la cuenta fue bloqueada de inmediato.

Incluso antes del ataque Colonial Pipeline, el negocio de DarkSide estaba en auge. Seg√ļn la firma de ciberseguridad Elliptic, que ha estudiado las billeteras bitcoin de DarkSide, la pandilla ha recibido alrededor de $ 15,5 millones (R $ 81 millones) en bitcoins desde octubre de 2020, con $ 75 millones adicionales (R $ 391 millones) .8 millones destinados a los afiliados.

Las altas ganancias para una banda criminal tan joven -DarkSide se fund√≥ en agosto pasado, seg√ļn investigadores de la industria de la seguridad inform√°tica- subrayan c√≥mo el hampa delictivo de habla rusa ha proliferado en los √ļltimos a√Īos. Este crecimiento fue posibilitado por el auge de las criptomonedas como bitcoin, que hizo que la necesidad de ¬ęmulas¬Ľ para transportar dinero tradicional, que a veces ten√≠a que ser contrabandeado a trav√©s de fronteras f√≠sicas, fuera pr√°cticamente obsoleta.

En solo unos a√Īos, seg√ļn los expertos en ciberseguridad, el ransomware se ha convertido en un negocio altamente organizado y compartimentado. Hay algunos piratas inform√°ticos que irrumpen en los sistemas inform√°ticos y otros cuyo trabajo es tomar el control de ellos. Hay expertos en soporte tecnol√≥gico y blanqueo de capitales. Muchas bandas criminales incluso tienen portavoces oficiales que se comunican con los medios y contactos.

En muchos sentidos, la estructura organizativa de la industria rusa de ransomware imita franquicias como McDonald’s o Hertz, que reducen las barreras de entrada y permiten la f√°cil duplicaci√≥n de pr√°cticas y t√©cnicas comerciales comprobadas. El acceso al panel de control de DarkSide era lo √ļnico necesario para establecer un negocio afiliado al paquete y, si lo deseaba, descargar una versi√≥n funcional del ransomware utilizado en el ataque al oleoducto Colonial.

The New York Times no compró este software, pero el editor ofreció una idea de cómo es ser víctima de un ataque DarkSide.

Lo primero que ve la víctima en la pantalla es una carta pidiendo rescate, con instrucciones y amenazas leves.

¬ęBienvenido a DarkSide¬Ľ, dice la carta en ingl√©s, antes de explicar que las computadoras y los servidores de la v√≠ctima han sido encriptados y que todas las copias de seguridad se han eliminado.

Para descifrar la informaci√≥n, las v√≠ctimas son dirigidas a un sitio web donde deben ingresar una contrase√Īa especial. La carta deja en claro que pueden llamar a un equipo de soporte t√©cnico si tienen alg√ļn problema.

¬ę!!! PELIGRO !!! NO MODIFIQUE ni intente RECUPERAR archivos usted mismo¬Ľ, se lee en la carta. ¬ę¬°NO PODEMOS RESTAURARLOS!¬Ľ

El software de DarkSide no solo bloquea los sistemas informáticos de las víctimas, sino que roba datos de propiedad, lo que permite a los afiliados solicitar pagos para desbloquear el sistema y no divulgar información confidencial de la empresa.

En la conversación que vio el periódico, un empleado de atención al cliente de DarkSide se jactó ante Woris de que estaba involucrado en más de 300 ataques extorsivos y trató de tranquilizarlo.

¬ęEstamos tan interesados ‚Äč‚Äčen los ingresos como usted¬Ľ, dijo el funcionario.

Juntos, crearon el plan para presionar a la editorial, una empresa familiar de casi un siglo con unos cientos de empleados.

Las negociaciones de rescate con DarkSide duraron 22 d√≠as y se llevaron a cabo por correo electr√≥nico o en el blog de la pandilla con un hacker o hackers que hablaban mal ingl√©s, dijo el portavoz de la compa√Ī√≠a.

Las negociaciones comenzaron en marzo ante la negativa de la editorial a pagar el rescate de $ 1,75 millones (R $ 9,14 millones). DarkSide, al parecer, estaba furioso y amenazó con filtrar la noticia del ataque de extorsión a los medios.

¬ęIgnorar esto es una muy mala estrategia para ti. No tienes mucho tiempo¬Ľ, escribi√≥ DarkSide en un correo electr√≥nico. ¬ęDespu√©s de dos d√≠as, publicaremos su blog y enviaremos esta noticia a los principales medios de comunicaci√≥n. Y todos ver√°n su catastr√≥fica filtraci√≥n de datos¬Ľ.

A pesar de las tácticas forzadas, DarkSide tenía una cierta orientación moral. En una lista de reglas publicadas en el panel, el grupo dijo que cualquier ataque a objetivos educativos, médicos o gubernamentales estaba prohibido.

Otra regla importante adoptada por DarkSide, junto con la mayor√≠a de los otros grupos de ciberdelincuentes rusos, destaca una realidad sobre el ciberdelito en la era moderna. Cualquiera que viva en la Comunidad de Estados Independientes, una reuni√≥n de ex rep√ļblicas sovi√©ticas, est√° estrictamente exento de ataque.

Los expertos en ciberseguridad dicen que la regla de ¬ęno trabajar en .ru¬Ľ, una referencia al sufijo de dominio nacional de Rusia, se ha convertido en una pr√°ctica est√°ndar en la comunidad de hackers de habla rusa para evitar involucrarse con la polic√≠a del pa√≠s. Las autoridades rusas han dejado en claro que rara vez enjuiciar√°n a los ciberdelincuentes por ataques extorsivos y otros delitos cibern√©ticos fuera de Rusia.

Como resultado, Rusia se ha convertido en un centro global para tales ataques, dicen los expertos. La firma de ciberseguridad Recorded Future rastrea alrededor de 25 grupos de ransomware, de los cuales se dice que aproximadamente 15, incluidos los cinco principales, tienen su sede en Rusia o en cualquier otro lugar de la ex Unión Soviética, dijo el experto en inteligencia de una firma, Dmitri Smilianets.

Este mes, el equipo de soporte de DarkSide intentó responder a partes del sistema que estaban bloqueadas, lo que el grupo atribuyó, sin evidencia, a la presión de Estados Unidos. En una publicación del 8 de mayo, el día después de que se publicitó el ataque colonial, el equipo de DarkSide parecía esperar cierta simpatía de sus afiliados.

¬ęAhora existe la opci√≥n de dar propina a Soporte sobre ‘pagos'¬Ľ, dec√≠a la publicaci√≥n. ¬ęEs opcional, pero el equipo de soporte estar√° encantado :)¬Ľ.

D√≠as despu√©s de que el FBI identificara p√ļblicamente a DarkSide como el culpable, Woris, que a√ļn no hab√≠a recibido el pago del editor, recurri√≥ al servicio de atenci√≥n al cliente, aparentemente preocupado.

¬ęHola, ¬Ņc√≥mo est√°s?¬Ľ, Escribi√≥. ¬ęLos tienen mal¬Ľ.

Fue la √ļltima comunicaci√≥n que tuvo Woris con DarkSide.

Unos días después, apareció un mensaje en el panel de control que decía que el grupo no estaba cerrando exactamente, como había dicho antes, sino vendiendo su información para que otros piratas informáticos pudieran seguir adelante con el lucrativo negocio del ransomware.

¬ęEl precio es negociable¬Ľ, escribi√≥ DarkSide. ¬ęCon un programa de asociaci√≥n an√°logo, es posible generar ganancias de US $ 5 millones (R $ 26,1 millones) mensuales¬Ľ.

Nacho Vega

Nacho Vega. Nac√≠ en Cuba pero resido en Espa√Īa desde muy peque√Īito. Tras cursar estudios de Historia en la Universidad Complutense de Madrid, muy pronto me interes√© por el periodismo y la informaci√≥n digital, campos a los que me he dedicado √≠ntegramente durante los √ļltimos 7 a√Īos. Encargado de informaci√≥n pol√≠tica y de sociedad. Colaborador habitual en cobertura de noticias internacionales y de sucesos de actualidad. Soy un apasionado incansable de la naturaleza y la cultura. Perfil en Facebook:¬†https://www.facebook.com/nacho.vega.nacho Email de contacto: nacho.vega@noticiasrtv.com

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *