El grupo de ciberdelincuentes DarkSide ha desaparecido de la red tras las consecuencias que tuvieron sus ataques de ransomware a The Colonial Pipeline, la mayor red de oleoductos de Estados Unidos. El incidente tuvo fuertes repercusiones sociales, mediáticas y políticas que pusieron al grupo cibercriminal en la mira de autoridades e investigadores de todo el mundo. Por último, el viernes, después de una semana del ataque, el grupo desapareció de la red bajo circunstancias aún desconocidas.
The Colonial Pipeline, encargada de transportar casi la mitad del combustible que se consume en la costa Este del país, tuvo que detener sus operaciones el fin de semana pasado porque había sido víctima del ransomware DarkSide que bloqueó el acceso a algunos de sus equipos y servidores. Los delincuentes prometían devolver el acceso a cambio del pago de un “rescate”, pero interrumpieron el funcionamiento del oleoducto como modo de extorsión.
El incidente afectó el suministro de combustible de gran parte de Estados Unidos, por lo que las autoridades no tardaron en involucrarse para investigar la situación. A principios de la semana, el FBI emitió un comunicado responsabilizando al grupo de hackers DarkSide y la discusión en torno al ataque no tardó en tomar tintes políticos.
En respuesta, los hackers de DarkSide emitieron un comunicado definiéndose como “apolíticos” y desligándose de cualquier vínculo con gobiernos y autoridades. “Somos apolíticos, no participamos de la geopolítica, no necesitamos estar atados a un gobierno definido ni tenemos segundas intenciones”, afirmaron. “Nuestro objetivo es ganar dinero, no generar problemas sociales”.
Para demostrarlo, los operadores de DarkSide dijeron que regularían sus formas de distribución para tener más control sobre la elección de las víctimas de los ataques. DarkSide opera como un “Ransomware como servicio” y está compuesto por dos grupos: el primero incluye a los operadores y desarrolladores del ransomware. El segundo, a los afiliados que se reclutan para propagar el malware y ejecutar los ataques.
El primer grupo recibe alrededor del 20-30% de las ganancias por dejar a los afiliados usar el ransomware, pero los afiliados pueden usarlo para atacar a quien ellos decidan. Sin embargo, a raíz de esta situación, los operadores de DarkSide dijeron que limitarían las libertades de los afiliados. “De ahora en adelante comenzaremos a moderar y revisar a cada compañía que nuestros partners quieran cifrar para evitar que haya consecuencias sociales en el futuro”, afirmaron los operadores de DarkSide en su comunicado.
Sin embargo, el viernes el sitio de DarkSide en la Dark net desapareció, y los atacantes dejaron de operar. Aun no se sabe si esta fue una decisión estratégica de los operadores o un cierre forzado: según The Washington Post, los atacantes habían contactado a sus afiliados diciéndoles que estaban deteniendo sus operaciones. Pero según un artículo de la AFP en South China Morning Post, el grupo dijo que había perdido el control de sus servidores por un ataque externo.
Las razones y pormenores de la desaparición de DarkSide todavía están por descubrirse y el incidente aún está en desarrollo, pero por lo pronto todavía está por verse si DarkSide, en efecto, desaparece de la red y, si lo hace, por cuánto tiempo lo hará.
Fuentes
DarkSide ransomware will now vet targets after pipeline cyberattack Bleeping Computer
US fuel pipeline hackers ‘didn’t mean to create problems’ BBC News
DarkSide group that attacked Colonial Pipeline drops from sight online The Washington Post
Servers of Colonial Pipeline hacker Darkside taken down by unknown actors South China Morning Post
DarkSide desaparece de la red tras las repercusiones del ataque a The Colonial Pipeline