Un foro sobre delitos está llevando a cabo un procedimiento cuasijudicial contra los creadores de DarkSide, el ransomware que cerró Colonial Pipeline hace dos semanas, para escuchar los reclamos de antiguos afiliados que dicen que los creadores se fueron de la ciudad sin pagar. O al menos eso es lo que los miembros del foro de delincuencia XSS.is quieren que todos creamos.
Una persona de habla rusa que usaba el identificador «darksupp» se dirigió a XSS.is en noviembre para reclutar afiliados para DarkSide, dijeron recientemente investigadores de la firma de seguridad FireEye. En ese momento, DarkSide era el nuevo ransomware como servicio en el bloque, y estaba en busca de socios comerciales.
Desde entonces, DarkSide ha cobrado espectacularmente. Según las cifras recientemente publicadas por la firma de seguimiento de criptomonedas Chainalysis, DarkSide obtuvo al menos $ 60 millones en sus primeros siete meses, con $ 46 millones en los primeros tres meses de este año.
DarkSide ganó otros $ 10 millones este mes, con $ 5 millones provenientes de Colonial Pipeline y $ 4.4 millones de la empresa de distribución química Brenntag. La semana pasada, DarkSide de repente se oscureció. Una publicación atribuida a darksupp decía que su grupo había perdido el control de la infraestructura y su considerable posesión de bitcoin.
“Por el momento, no se puede acceder a estos servidores a través de SSH y los paneles de alojamiento han sido bloqueados”, decía la publicación. “El servicio de soporte de alojamiento no proporciona ninguna información excepto ‘a pedido de las autoridades policiales’. Además, un par de horas después de la incautación, los fondos del servidor de pago (que nos pertenecen a nosotros y a nuestros clientes) se retiraron a una cuenta desconocida”.
No se ha sabido nada de DarkSide desde entonces.
Según los términos del acuerdo alcanzado en XSS, DarkSide paga a los afiliados el 75 por ciento de los rescates inferiores a $500,000. El corte aumenta al 90 por ciento para rescates superiores a $ 5 millones. Pero según varios afiliados de DarkSide en XSS, el proveedor de RaaS se ha fugado sin cumplir sus compromisos. Los afiliados han estado pidiendo que se les reembolse un depósito con un saldo de alrededor de $900,000 que DarkSide tuvo que hacer con XSS.
Aquí hay tres publicaciones de este tipo. Fíjate en términos judiciales como «demandante» y «acusado».
No sorprende que los organizadores de XSS vigilen su sitio precisamente de la manera que se ve en estas discusiones. Después de todo, la economía del cibercrimen está en auge, pero para que XSS gane dinero, se debe considerar que el foro opera en igualdad de condiciones. Sin embargo, en última instancia, es imposible saber si estos procedimientos son reales o solo un acto.
«Esta es una comunidad de ciberdelincuentes que saben que su foro está siendo monitoreado por LE, las empresas de seguridad y la prensa», dijo Brett Callow, analista de amenazas de la firma de seguridad Emsisoft. «Es muy probable que algunas comunicaciones se realicen únicamente para confundir los problemas. Humo y espejos».
Con DarkSide interrumpiendo el suministro de gasolina para grandes franjas de los EE. UU. hace dos semanas, el FBI sin duda traerá toda su fuerza a esta empresa si tiene la oportunidad. Es probable que los propietarios de DarkSide sientan el calor, incluso si los procedimientos judiciales contra el ransomware son solo un acto.
