Si usted consigue 17,5 millones de dólares gracias a actividades ilegales, incluyendo 5 millones producto del famoso ataque al oleoducto Colonial Pipeline, es posible que prefiera descansar un rato mientras se “calman las aguas”.
Colonial Pipeline transporta aproximadamente el 45% de la gasolina, diésel y combustible para aviones que se consume en la costa este de los Estados Unidos.
DarkSide, el grupo de piratas informáticos posiblemente con sede en Rusia detrás del ransomware que llevó a Colonial Pipeline a desconectar sus 5.500 millas de oleoducto, declaró el jueves que lamentablemente se habían visto obligado a finalizar su programa de afiliados.
Leer Introducción a los ataques ransomware: usted necesita saber estas 5 cosas
Así mismo como se lee. El grupo de cibercriminales DarkSide tenía un programa de afiliados, una especie de modelo de negocio de ransomware como servicio, que proporcionaba a los piratas informáticos acceso al software de ransomware de DarkSide a cambio de una parte de las ganancias.
Leer Con el “Ransomware as a Service” Philadelphia, cualquiera puede ser ciberdelincuente
Según Intel471, una firma de ciberseguridad que vio el anuncio, DarkSide dijo que la medida se debe en parte “a la presión de Estados Unidos”.
Y claro, es probable que el gobierno de EE.UU. esté ejerciendo mucha presión sobre los miembros de DarkSide. El jueves, el presidente Joe Biden dijo que los funcionarios tenían la intención de “adoptar una medida para interrumpir la capacidad operativa [de las redes de ransomware]”.
Ese mismo día, el sitio web de DarkSide se desconectó y el grupo afirmó que también perdió el acceso a una gran cantidad de fondos.
Leer Advertencia de seguridad: el ransomware crece como negocio multimillonario
“Un par de horas después de la incautación, los fondos del servidor de pagos (que pertenece a nosotros y nuestros clientes) se retiraron a una cuenta desconocida”, se lee en el comunicado de DarkSide, traducido del ruso, en parte.
Y DarkSide tenía muchos fondos. El modelo era realmente rentable.
Elliptic, una empresa de análisis de blockchain, encontró una de las carteras Bitcoin de DarkSide. Según la compañía, la billetera en cuestión recibió aproximadamente 17,5 millones de dólares en bitcoins solo desde marzo.
“La billetera ha estado activa desde el 4 de marzo de 2021 y ha recibido 57 pagos de 21 billeteras diferentes”, señala la compañía.
Es importante destacar que Elliptic escribe que el jueves se vació de la billetera de DarkSide $ 5 millones en bitcoins. La pregunta, por supuesto, es ¿esa criptomoneda fue incautada de verdad por algún gobierno, o DarkSide simplemente está moviendo su botín?
Lo que nos lleva de vuelta a las afirmaciones de DarkSide de dejarlo. Lo que es seguro es que el sitio web del grupo se desconectó y ellos dicen que ya no pueden acceder a sus servidores de pago, pero ¿deberíamos realmente confiar en la palabra del grupo?
Existe una larga tradición de estafas de salida en el sombrío mundo de los mercados de la red oscura: es común hacer desaparecer las criptomonedas de todos los involucrados cuando el agua se calienta demasiado y culpar a un hackeo, y no sería inaudito que un grupo como DarkSide aprovechara esta oportunidad para cambiar su marca y quedarse con todo el dinero en el proceso.
Independientemente del destino de DarkSide, el cierre del oleoducto no será la última vez que todos sintamos los efectos de un grupo de ransomware internacional. Eso es porque no importa lo que diga la Casa Blanca, el ransomware no va a desaparecer, especialmente si empresas con grandes bolsillos y poca preparación en materia de seguridad como Colonial Pipeline siguen haciendo que valga la pena el tiempo de los piratas informáticos.