DarkSide, el grupo de piratas informáticos detrás del ataque de ransomware Colonial Pipeline a principios de este mes, recibió $ 90 millones en pagos de bitcoins luego de una ola de ransomware de nueve meses, lo que lo convierte en uno de los grupos de ciberdelincuencia más rentables.
«En total, se realizaron pagos de rescate de bitcoins a DarkSide por un poco más de $ 90 millones, provenientes de 47 billeteras distintas», dijo la firma de análisis de blockchain Elliptic. «De acuerdo a Trazador oscuro, 99 organizaciones han sido infectadas con el malware DarkSide, lo que sugiere que aproximadamente el 47% de las víctimas pagaron un rescate y que el pago promedio fue de $ 1.9 millones «.
Del botín total de $ 90 millones, se dice que el desarrollador de DarkSide recibió $ 15,5 millones en bitcoins, mientras que los $ 74,7 millones restantes se dividieron entre sus diversos afiliados. La investigación de FireEye sobre el programa de afiliados de DarkSide había revelado previamente que sus creadores obtienen un recorte del 25 % por pagos inferiores a $ 500 000 y del 10 % por rescates superiores a $ 5 millones, y la mayor parte del dinero se destina a los socios reclutados.
El cofundador y científico jefe de Elliptic, el Dr. Tom Robinson dijo que «la división del pago del rescate es muy clara de ver en la cadena de bloques, con las diferentes acciones destinadas a billeteras Bitcoin separadas controladas por el afiliado y el desarrollador».
Además, un análisis de las transacciones de blockchain reveló que el sindicato había ganado $ 17,5 millones solo en los últimos tres meses, con aproximadamente el 10% de las ganancias provenientes de los pagos realizados por la empresa de distribución de productos químicos Brenntag (casi $ 4,4 millones) y Colonial Pipeline. La firma con sede en Georgia dijo que pagó 75 bitcoins ($ 4,4 millones al 8 de mayo) para restaurar el acceso, dijo el director ejecutivo Joseph Blount al Wall Street Journal.
DarkSide, que entró en funcionamiento en agosto de 2020, es solo uno de los muchos grupos que operaron como proveedores de servicios para otros actores de amenazas, o «afiliados», que usaron su ransomware para extorsionar a sus objetivos a cambio de una parte de las ganancias, pero no antes. amenazando con divulgar los datos, una táctica conocida como doble extorsión.
Pero en un giro repentino de los acontecimientos, el prolífico cártel del cibercrimen anunció la semana pasada planes para cerrar definitivamente su programa de afiliados Ransomware-as-a-Service (RaaS), alegando que sus servidores habían sido incautados por la policía. Su billetera bitcoin también se vació a una cuenta desconocida.
Las consecuencias del ciberataque más grande conocido en la industria energética de los EE. UU. son solo el último ejemplo de cómo una serie de incidentes de ransomware están afectando cada vez más las operaciones de la infraestructura crítica y están emergiendo como una amenaza para la seguridad nacional. Los eventos también han centrado la atención en la implementación de las estrategias necesarias para garantizar que las funciones vitales permanezcan operativas en caso de una interrupción cibernética significativa.
