DarkSide es un grupo de piratería cibernética , que se cree que tiene su sede en Europa del Este , que se dirige a las víctimas que utilizan ransomware y extorsión ; se cree que está detrás del ciberataque Colonial Pipeline y el reciente ataque a una unidad de Toshiba. [1] [2] [3] [4] El grupo proporciona ransomware como servicio. [4] [5] [6]
Lado oscuro | |
Propósito | Ransomware como servicio |
---|---|
Región | Europa del Este |
Idioma oficial | ruso |
El propio DarkSide afirma ser apolítico. [7]
Objetivos
Se cree que DarkSide tiene su sede en Europa del Este , probablemente Rusia , pero a diferencia de otros grupos de piratería responsables de ciberataques de alto perfil, no se cree que esté patrocinado directamente por el estado (es decir, operado por los servicios de inteligencia rusos ). [3] [8] DarkSide evita objetivos en determinadas ubicaciones geográficas comprobando la configuración de idioma de su sistema. Además de los idiomas de los 12 países de la CEI actuales, anteriores o fundadores , la lista de exclusión contiene árabe sirio . [9] Los expertos afirman que el grupo es "uno de los muchos grupos de ransomware con fines de lucro que han proliferado y prosperado en Rusia" con al menos la sanción implícita de las autoridades rusas, que permiten que la actividad ocurra siempre y cuando ataque al extranjero. objetivos. [8] La función de verificación de idioma se puede desactivar cuando se crea una instancia de ransomware. Una de esas versiones se observó en mayo de 2021. [10] Además, DarkSide no se dirige a centros de salud , escuelas y organizaciones sin fines de lucro . [11]
El código de ransomware utilizado por DarkSide se asemeja al software de ransomware utilizado por REvil , un grupo de piratería diferente; El código de REvil no está disponible públicamente, lo que sugiere que DarkSide es una rama de REvil [12] o un socio de REvil. [4] DarkSide y REvil utilizan notas de rescate estructuradas de manera similar y el mismo código para comprobar que la víctima no se encuentra en un país de la Comunidad de Estados Independientes (CEI). [13]
Según los datos de Trend Micro Research, Estados Unidos es, con mucho, el país más objetivo de DarkSide, con más de 500 detecciones, seguido de Francia , Bélgica y Canadá . [13] De los 25 países observados por McAfee, los más afectados por los ataques de DarkSide en términos de número de dispositivos afectados por millón de dispositivos son Israel (1573,28), Malasia (130,99), Bélgica (106,93), Chile (103,97), Italia (95,91). , Turquía (66,82), Austria (61,19), Ucrania (56,09), Perú (26,94), Estados Unidos (24,67). [14]
A junio de 2021, DarkSide solo ha publicado datos de una empresa; la cantidad de datos publicados supera los 200GB. [15]
Mecanismo de ataque
El ransomware DarkSide inicialmente pasa por alto UAC usando la interfaz CMSTPLUA COM. [15] A continuación, el software comprueba la ubicación y el idioma del sistema para evitar las máquinas de los países de la antigua Unión Soviética; Los idiomas incluidos en la lista negra son el ruso , el ucraniano , el bielorruso , el tayiko , el armenio , el azerbaiyano , el georgiano , el kazajo , el kirguís , el turcomano , el uzbeko , el tártaro , el rumano moldavo y el árabe sirio . [15]
Luego, el software crea un archivo llamado LOG. {Userid} .TXT , que sirve como archivo de registro . [15] El software elimina los archivos de la papelera de reciclaje (informática) uno por uno, desinstala ciertos programas de seguridad y de respaldo y finaliza los procesos para permitir el acceso a los archivos de datos del usuario. [15] Durante el proceso de cifrado propiamente dicho, se genera una identificación de usuario basada en una dirección MAC y aparece adjunta a los nombres de archivo, y los datos de archivo se cifran con Salsa20 y una clave de matriz generada aleatoriamente (que, cifrada con una clave RSA codificada , es en sí misma adjunto al archivo). [15] Sin embargo, el software evita cifrar ciertas carpetas, archivos y tipos de archivos. [15]
Finalmente, el ransomware deja una nota de rescate titulada README. {Userid} .TXT , que indica al usuario que acceda a un sitio con Tor; luego, este sitio solicita al usuario que verifique su identidad y que realice un pago utilizando Bitcoin o Monero . [15]
Modelo de negocio
DarkSide utiliza piratas informáticos intermediarios ("afiliados"). [16] Utiliza "ransomware-as-a-service" [4] [5] [6] - un modelo en el que DarkSide otorga a sus suscriptores "afiliados" (que son evaluados a través de una entrevista) acceso al ransomware desarrollado por DarkSide, a cambio de darle a DarkSide una parte de los pagos de rescate (aparentemente el 25% para pagos de rescate inferiores a 500.000 dólares EE.UU. y el 10% para pagos de rescate superiores a 5 millones de dólares EE.UU.). [4] Los afiliados tienen acceso a un panel de administración en el que crean construcciones para víctimas específicas. El panel permite cierto grado de personalización para cada compilación de ransomware. La firma de ciberseguridad Mandiant , una subsidiaria de FireEye , ha documentado cinco grupos de actividad de amenazas que pueden representar diferentes afiliados de la plataforma DarkSide RaaS, y ha descrito tres de ellos, denominados UNC2628, UNC2659 y UNC2465. [10]
Historia y ataques
El grupo se notó por primera vez en agosto de 2020. [15] La empresa de ciberseguridad Kaspersky describió al grupo como una "empresa" debido a su sitio web de aspecto profesional y sus intentos de asociarse con periodistas y empresas de descifrado. [2] El grupo "ha declarado públicamente que prefieren apuntar a organizaciones que pueden pagar grandes rescates en lugar de hospitales, escuelas, organizaciones sin fines de lucro y gobiernos". [6] El grupo ha tratado de fomentar una imagen de " Robin Hood ", alegando que donaron parte de sus ganancias de rescate a la caridad. [1] [17] En una publicación de darkweb, el grupo publicó recibos de donaciones de BTC 0.88 (entonces por un valor de US $ 10,000) cada una para Children International y para The Water Project con fecha del 13 de octubre de 2020; Children International declaró que no se quedará con el dinero. [18] [19]
Los rescates exigidos por el grupo oscilan entre 200.000 y 2 millones de dólares. [15] [12] Desde diciembre de 2020 hasta mayo de 2021, DarkSide atacó la infraestructura de petróleo y gas de Estados Unidos en cuatro ocasiones. [8] El ransomware DarkSide afectó al proveedor de servicios administrados de TI CompuCom en marzo de 2021, con un costo de más de 20 millones de dólares en gastos de restauración; también atacó a Canadian Discount Car and Truck Rentals [20] y Toshiba Tec Corp., una unidad de Toshiba Corp. [21] DarkSide extorsionó a la empresa alemana Brenntag . [16] La empresa de seguridad de criptomonedas Elliptic declaró que una billetera Bitcoin abierta por DarkSide en marzo de 2021 había recibido US $ 17,5 millones de 21 billeteras Bitcoin (incluido el rescate de Colonial Pipeline), lo que indica la cantidad de rescates recibidos en el transcurso de unos meses. [16] El análisis de Elliptic mostró que en total, Darkside recibió más de $ 90 millones en pagos de rescate de al menos 47 víctimas. El pago de rescate promedio fue de $ 1.9 millones. [22]
La Oficina Federal de Investigaciones identificó a DarkSide como el autor del ataque de ransomware Colonial Pipeline , un ciberataque el 7 de mayo de 2021, perpetrado por código malicioso , que provocó el cierre voluntario del oleoducto principal que suministra el 45% del combustible a la costa este de los Estados Unidos . [3] [12] [23] El ataque fue descrito como el peor ataque cibernético hasta la fecha en la infraestructura crítica de Estados Unidos . [1] DarkSide extorsionó con éxito alrededor de 75 Bitcoin (casi US $ 5 millones) de Colonial Pipeline. [16] Los funcionarios estadounidenses están investigando si el ataque fue puramente criminal o si tuvo lugar con la participación del gobierno ruso u otro patrocinador estatal. [12] Tras el ataque, DarkSide publicó un comunicado afirmando que "Somos apolíticos, no participamos en geopolítica ... Nuestro objetivo es ganar dinero y no crear problemas para la sociedad". [12]
En mayo de 2021, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad emitieron una alerta conjunta instando a los propietarios y operadores de infraestructura crítica a tomar ciertas medidas para reducir su vulnerabilidad al ransomware DarkSide y al ransomware en general. [6]
El 14 de mayo de 2021, en una declaración en ruso obtenida por las firmas de ciberseguridad Recorded Future , FireEye e Intel 471 e informada por Wall Street Journal y The New York Times , DarkSide dijo que "debido a la presión de los EE. UU." estaba cerrando operaciones, cerrando el "programa de afiliados" de la pandilla (los piratas informáticos intermediarios con los que DarkSide trabaja para piratear). [16] [24] La "presión" específica a la que se hizo referencia no estaba clara, pero el día anterior, el presidente de los Estados Unidos, Joe Biden, sugirió que Estados Unidos tomaría medidas contra DarkSide para "interrumpir su capacidad para operar". [16] DarkSide afirmó que había perdido el acceso a su servidor de pagos, blog y fondos retirados a una cuenta no especificada. [16] Los expertos en ciberseguridad advirtieron que la afirmación de DarkSide de haberse disuelto podría ser una artimaña para desviar el escrutinio, [16] y posiblemente permitir que la pandilla reanude las actividades de piratería con un nombre diferente. [24] Es común que las redes de ciberdelincuentes se cierren, revivan y cambien de nombre de esta manera. [dieciséis]
Los reporteros de la Agence France-Presse descubrieron que el informe Recorded Future que detallaba la pérdida de servidores y fondos de DarkSide fue retuiteado por la cuenta de Twitter de la 780th Military Intelligence Brigade , un grupo de guerra cibernética del ejército de los EE. UU. Involucrado en operaciones ofensivas. [25]
Referencias
- ^ a b c "¿Quiénes son DarkSide, la banda criminal de 'Robin Hood' a la que se culpa por cerrar uno de los oleoductos más grandes?" . www.abc.net.au . 9 de mayo de 2021 . Consultado el 10 de mayo de 2021 .
- ^ a b Dedenok, Roman (10 de mayo de 2021). "DarkSide leaks muestra cómo el ransomware se está convirtiendo en una industria" . Kaspersky Daily . AO Kaspersky Lab.
- ^ a b c Dustin Volz, Grupo criminal de EE.UU. culpa en Colonial Pipeline Hack , Wall Street Journal (10 de mayo de 2021).
- ^ a b c d e Charlie Osborne, Los investigadores rastrean a cinco afiliados del servicio de ransomware DarkSide , ZDNet (12 de mayo de 2021).
- ^ a b Chris Nuttall, ransomware-as-a-service de DarkSide , Financial Times (10 de mayo de 2021).
- ^ a b c d Alerta (AA21-131A): DarkSide Ransomware: mejores prácticas para prevenir la interrupción del negocio por ataques de ransomware , Agencia de seguridad de infraestructura y ciberseguridad / Oficina federal de investigación (11 de mayo de 2021, última revisión el 12 de mayo de 2021).
- ^ Javers, Eamon (10 de mayo de 2021). "Aquí está el grupo de piratería responsable del cierre de Colonial Pipeline" . CNBC . Consultado el 21 de mayo de 2021 .
- ^ a b c Nicolás Rivero, Hacking colectivo DarkSide son piratas sancionados por el estado , Quartz (10 de mayo de 2021).
- ^ Cybereason contra DarkSide Ransomware , Cybereason (1 de abril de 2021).
- ^ a b https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware-operations.html
- ^ Muncaster, Phil (12 de marzo de 2021). "Darkside 2.0 Ransomware promete velocidades de cifrado más rápidas" . Revista Infosecurity . Consultado el 21 de mayo de 2021 .
- ^ a b c d e David E. Sanger y Nicole Perlroth, el FBI identifica al grupo detrás de Pipeline Hack , New York Times (10 de mayo de 2021).
- ^ a b Lo que sabemos sobre DarkSide Ransomware y el ataque de canalización de EE. UU. , Trend Micro Research (14 de mayo de 2021).
- ^ Perfil de amenaza: DarkSide Ransomware , MVISION Insights, McAfee.
- ^ a b c d e f g h yo j "Estudio de caso: Darkside Ransomware no ataca hospitales, escuelas y gobiernos" . Acronis . Consultado el 15 de mayo de 2021 .
- ^ a b c d e f g h i Michael Schwirtz y Nicole Perlroth, DarkSide, culpados por el ataque de un gasoducto, dice que se está cerrando , New York Times (14 de mayo de 2021).
- ^ "Hackers misteriosos de 'Robin Hood' donando dinero robado" . Noticias de la BBC. 19 de octubre de 2020 . Consultado el 10 de mayo de 2021 .
- ^ "Cybereason vs DarkSide Ransomware" . www.cybereason.com . 1 de abril de 2021 . Consultado el 10 de junio de 2021 .
- ^ Tidy, Joe (19 de octubre de 2020). "Hackers misteriosos de 'Robin Hood' donando dinero robado" . BBC News . Consultado el 10 de junio de 2021 .
- ^ Immanni, Manikanta (28 de marzo de 2021). "Ataque de ransomware en CompuCom cuesta más de $ 20 millones en gastos de restauración" . TechDator . Consultado el 14 de mayo de 2021 .
- ^ Benoit Overstraeten & Makiko Yamazaki, unidad de Toshiba pirateada por DarkSide, conglomerado para someterse a revisión estratégica , Reuters (14 de mayo de 2021).
- ^ "DarkSide Ransomware ha ganado más de $ 90 millones en Bitcoin" . Elíptica . Consultado el 20 de mayo de 2021 .
- ^ Ellen Nakashima, Yeganeh Torbati & Will Englund, El ataque de ransomware provoca el cierre del principal sistema de tuberías de EE. UU. , Washington Post (8 de mayo de 2021).
- ^ a b Robert McMillan y Dustin Volz, Colonial Pipeline Hacker DarkSide dice que cerrará operaciones , Wall Street Journal (14 de mayo de 2021).
- ^ "Servidores del hacker de Colonial Pipeline Darkside forzado abajo: empresa de seguridad" . AFP . Consultado el 25 de mayo de 2021 .