News

DarkSide desaparece de la red tras las repercusiones del ataque a The Colonial Pipeline

El grupo de ciberdelincuentes DarkSide ha desaparecido de la red tras las consecuencias que tuvieron sus ataques de ransomware a The Colonial Pipeline, la mayor red de oleoductos de Estados Unidos. El incidente tuvo fuertes repercusiones sociales, mediáticas y políticas que pusieron al grupo cibercriminal en la mira de autoridades e investigadores de todo el mundo. Por último, el viernes, después de una semana del ataque, el grupo desapareció de la red bajo circunstancias aún desconocidas.

The Colonial Pipeline, encargada de transportar casi la mitad del combustible que se consume en la costa Este del país, tuvo que detener sus operaciones el fin de semana pasado porque había sido víctima del ransomware DarkSide que bloqueó el acceso a algunos de sus equipos y servidores. Los delincuentes prometían devolver el acceso a cambio del pago de un “rescate”, pero interrumpieron el funcionamiento del oleoducto como modo de extorsión.

El incidente afectó el suministro de combustible de gran parte de Estados Unidos, por lo que las autoridades no tardaron en involucrarse para investigar la situación. A principios de la semana, el FBI emitió un comunicado responsabilizando al grupo de hackers DarkSide y la discusión en torno al ataque no tardó en tomar tintes políticos.

En respuesta, los hackers de DarkSide emitieron un comunicado definiéndose como “apolíticos” y desligándose de cualquier vínculo con gobiernos y autoridades. “Somos apolíticos, no participamos de la geopolítica, no necesitamos estar atados a un gobierno definido ni tenemos segundas intenciones”, afirmaron. “Nuestro objetivo es ganar dinero, no generar problemas sociales”.

Para demostrarlo, los operadores de DarkSide dijeron que regularían sus formas de distribución para tener más control sobre la elección de las víctimas de los ataques. DarkSide opera como un “Ransomware como servicio” y está compuesto por dos grupos: el primero incluye a los operadores y desarrolladores del ransomware. El segundo, a los afiliados que se reclutan para propagar el malware y ejecutar los ataques.

El primer grupo recibe alrededor del 20-30% de las ganancias por dejar a los afiliados usar el ransomware, pero los afiliados pueden usarlo para atacar a quien ellos decidan. Sin embargo, a raíz de esta situación, los operadores de DarkSide dijeron que limitarían las libertades de los afiliados. “De ahora en adelante comenzaremos a moderar y revisar a cada compañía que nuestros partners quieran cifrar para evitar que haya consecuencias sociales en el futuro”, afirmaron los operadores de DarkSide en su comunicado.

Sin embargo, el viernes el sitio de DarkSide en la Dark net desapareció, y los atacantes dejaron de operar. Aun no se sabe si esta fue una decisión estratégica de los operadores o un cierre forzado: según The Washington Post, los atacantes habían contactado a sus afiliados diciéndoles que estaban deteniendo sus operaciones. Pero según un artículo de la AFP en South China Morning Post, el grupo dijo que había perdido el control de sus servidores por un ataque externo.

Las razones y pormenores de la desaparición de DarkSide todavía están por descubrirse y el incidente aún está en desarrollo, pero por lo pronto todavía está por verse si DarkSide, en efecto, desaparece de la red y, si lo hace, por cuánto tiempo lo hará.

Fuentes

DarkSide ransomware will now vet targets after pipeline cyberattack Bleeping Computer
US fuel pipeline hackers ‘didn’t mean to create problems’ BBC News
DarkSide group that attacked Colonial Pipeline drops from sight online The Washington Post
Servers of Colonial Pipeline hacker Darkside taken down by unknown actors South China Morning Post

DarkSide desaparece de la red tras las repercusiones del ataque a The Colonial Pipeline

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada