DarkSide, el grupo de ransomware que interrumpió la distribución de gasolina en una amplia franja de los EE. UU. esta semana, se apagó, lo que no deja claro si el grupo está cesando, suspendiendo o alterando sus operaciones o simplemente está orquestando una estafa de salida.
El jueves, los ocho sitios web oscuros que DarkSide usó para comunicarse con el público bajó, y permanecen inactivos en el momento de la publicación. De la noche a la mañana, una publicación atribuida a DarkSide afirmó, sin proporcionar ninguna evidencia, que las fuerzas del orden habían incautado el sitio web del grupo y la infraestructura de distribución de contenido, junto con la criptomoneda que había recibido de las víctimas.
El perro se comió nuestros fondos.
“Por el momento, no se puede acceder a estos servidores a través de SSH y los paneles de alojamiento han sido bloqueados”, decía la publicación, según una traducción de la publicación en ruso publicada el viernes por la firma de seguridad Intel471. “El servicio de soporte de alojamiento no proporciona ninguna información excepto ‘a pedido de las autoridades policiales’. Además, un par de horas después de la incautación, los fondos del servidor de pago (que nos pertenecen a nosotros y a nuestros clientes) se retiraron a una cuenta desconocida”.
La publicación continuó afirmando que DarkSide distribuiría un descifrador de forma gratuita a todas las víctimas que aún no hayan pagado un rescate. Hasta el momento, no hay informes de que el grupo cumpla esa promesa.
De ser cierto, las incautaciones representarían un gran golpe para las fuerzas del orden. Según cifras recientemente publicadas por la firma de seguimiento de criptomonedas Chainalysis, DarkSide obtuvo al menos $ 60 millones en sus primeros siete meses, con $ 46 millones en los primeros tres meses de este año.
Identificar un servicio oculto de Tor también sería una gran puntuación, ya que probablemente significaría que el grupo cometió un error de configuración importante al configurar el servicio o que las fuerzas del orden conocen una vulnerabilidad grave en la forma en que funciona la web oscura. (Los analistas de Intel471 dicen que parte de la infraestructura de DarkSide está orientada al público, es decir, Internet normal, por lo que el malware puede conectarse).
Pero hasta ahora, no hay evidencia para corroborar públicamente estas afirmaciones extraordinarias. Por lo general, cuando las fuerzas del orden de los EE. UU. y los países de Europa occidental incautan un sitio web, publican un aviso en la página principal del sitio que revela la incautación. A continuación, se muestra un ejemplo de lo que vieron las personas después de intentar visitar el sitio del grupo Netwalker después de que se eliminó el sitio:
Hasta ahora, ninguno de los sitios de DarkSide muestra tal aviso. En cambio, la mayoría de ellos se agotan o muestran pantallas en blanco.
Lo que es aún más dudoso es la afirmación de que se han tomado las considerables tenencias de criptomonedas del grupo. Las personas que tienen experiencia en el uso de moneda digital saben que no deben almacenarla en «billeteras calientes», que son bóvedas digitales conectadas a Internet. Debido a que las billeteras activas contienen las claves privadas necesarias para transferir fondos a nuevas cuentas, son vulnerables a los ataques y los tipos de incautaciones que se afirman en la publicación.
Para que las fuerzas del orden confiscaran la moneda digital, los operadores de DarkSide probablemente habrían tenido que almacenarla en una billetera caliente, y el cambio de moneda utilizado por DarkSide habría tenido que cooperar con la agencia de aplicación de la ley o habría sido pirateado.
Dudo mucho que un grupo de ransomware mantenga sus ganancias en una billetera caliente en un intercambio de criptomonedas que cooperaría con las fuerzas del orden. Acuden a intercambios turbios solo cuando necesitan lavar el dinero. Incluso entonces, el bloqueo sería más creíble que la transferencia.
—Vess (@VessOnSecurity) 14 de mayo de 2023
También es factible que el seguimiento cercano por parte de una organización como Chainalysis identificara billeteras que recibieron fondos de DarkSide, y las fuerzas del orden confiscaron posteriormente las tenencias. De hecho, Elliptic, una empresa independiente de análisis de cadenas de bloques, informó haber encontrado una billetera Bitcoin utilizada por DarkSide para recibir pagos de sus víctimas. El jueves, informó Elliptic, se vació de $ 5 millones.
Por el momento, no se sabe si esa transferencia fue iniciada por el FBI u otro grupo policial, o por el mismo DarkSide. De cualquier manera, Elliptic dijo que la billetera, que desde principios de marzo había recibido 57 pagos de 21 billeteras diferentes, proporcionó pistas importantes para que los investigadores las siguieran.
«Lo que encontramos es que el 18% de Bitcoin se envió a un pequeño grupo de intercambios», escribió el cofundador y científico jefe de Elliptic, Tom Robinson. “Esta información proporcionará a las fuerzas del orden pistas críticas para identificar a los perpetradores de estos ataques”.
Tonterías, exageraciones y ruido.
La publicación de DarkSide se produjo cuando un destacado foro clandestino criminal llamado XSS anunció que estaba prohibiendo todas las actividades de ransomware, un cambio importante del pasado. Anteriormente, el sitio era un recurso importante para los grupos de ransomware REvil, Babuk, DarkSide, LockBit y Nefilim para reclutar afiliados, quienes usan el malware para infectar a las víctimas y, a cambio, comparten una parte de los ingresos generados. Unas horas más tarde, todas las publicaciones de DarkSide realizadas en XSS se habían caído.
En una publicación del viernes por la mañana, la firma de seguridad Flashpoint escribió:
Según el administrador de XSS, la decisión se basa parcialmente en diferencias ideológicas entre el foro y los operadores de ransomware. Además, la atención de los medios de los incidentes de alto perfil ha resultado en una «masa crítica de tonterías, exageraciones y ruido». La declaración XSS ofrece algunas razones para su decisión, particularmente que los colectivos de ransomware y los ataques que los acompañan están generando “demasiadas relaciones públicas” y elevando los riesgos geopolíticos y de aplicación de la ley a un “peligro”.[ous] nivel.»
El administrador de XSS también afirmó que cuando «Peskov [the Press Secretary for the President of Russia, Vladimir Putin] se ve obligado a poner excusas frente a nuestros ‘amigos’ en el extranjero, esto es demasiado”. Hicieron un hipervínculo en un artículo del sitio web de noticias ruso Kommersant titulado «Rusia no tiene nada que ver con los ataques de piratería en un oleoducto en los Estados Unidos» como base para estas afirmaciones.
En cuestión de horas, otros dos foros clandestinos (Exploit y Raid Forums) también prohibieron publicaciones relacionadas con ransomware, de acuerdo a Imágenes que circulan en Twitter.
Mientras tanto, REvil dijo que estaba prohibiendo el uso de su software contra organizaciones gubernamentales, educativas y de atención médica, informó The Record.
Ransomware en una encrucijada
Los movimientos de XSS y REvil plantean una importante interrupción a corto plazo del ecosistema de ransomware, ya que eliminan una herramienta clave de reclutamiento y una fuente de ingresos. Los efectos a largo plazo son menos claros.
“A la larga, es difícil creer que el ecosistema de ransomware se desvanecerá por completo, dado que los operadores están motivados financieramente y los esquemas empleados han sido efectivos”, dijeron los analistas de Intel471 en un correo electrónico. Dijeron que era más probable que los grupos de ransomware «se vuelvan privados», lo que significa que ya no reclutarán afiliados públicamente en foros públicos o desarmarán sus operaciones actuales y cambiarán su marca con un nuevo nombre.
Los grupos de ransomware también podrían alterar su práctica actual de encriptar datos para que la víctima no pueda utilizarlos mientras descargan los datos y amenazan con hacerlos públicos. Este método de doble extorsión tiene como objetivo aumentar la presión sobre las víctimas para que paguen. El grupo de ransomware Babuk recientemente comenzó a eliminar el uso de malware que encripta datos mientras mantiene su blog que nombra y avergüenza a las víctimas y publica sus datos.
“Este enfoque permite a los operadores de ransomware obtener los beneficios de un evento de extorsión por chantaje sin tener que lidiar con las consecuencias públicas de interrumpir la continuidad comercial de un hospital o una infraestructura crítica”, escribieron los analistas de Intel471 en el correo electrónico.
Por ahora, las únicas pruebas de que la infraestructura y la criptomoneda de DarkSide han sido incautadas son las palabras de criminales admitidos, apenas suficientes para considerar la confirmación.
“Podría estar equivocado, pero sospecho que esto es simplemente una estafa de salida”, dijo a Ars Brett Callow, analista de amenazas de la firma de seguridad Emsisoft. «DarkSide puede navegar hacia el atardecer, o, más probablemente, cambiar de marca, sin necesidad de compartir las ganancias obtenidas ilícitamente con sus socios en el crimen».
![Google: puede confiarnos los datos médicos que no sabía que ya teníamos [Updated]](https://marketingdecontenido.top/wp-content/uploads/2022/08/1661633352_Google-puede-confiarnos-los-datos-medicos-que-no-sabia-que-390x220.jpg "Google: puede confiarnos los datos médicos que no sabía que ya teníamos [Updated] 13")
