Los atacantes de US Pipeline Ransomware se oscurecen después de que se incautan los servidores y Bitcoin

Secuestro de datos

Así como Oleoducto Colonial restaurado todos sus sistemas al estado operativo a raíz de un incidente de ransomware paralizante hace una semana, DarkSide, el sindicato de ciberdelincuentes detrás del ataque, afirmó que perdió el control de su infraestructura, citando una incautación policial.

Todos los sitios web oscuros operados por la pandilla, incluido su blog DarkSide Leaks, el sitio de recolección de rescate y los servidores de la red de entrega de contenido de datos (CDN) de violación, se han oscurecido y permanecen inaccesibles al momento de escribir este artículo. Además, los fondos de sus billeteras de criptomonedas supuestamente fueron extraídos a una cuenta desconocida, según una nota enviada por los operadores de DarkSide a sus afiliados.

«Por el momento, no se puede acceder a estos servidores a través de SSH, y los paneles de alojamiento han sido bloqueados», decía el anuncio obtenido por Intel 471.

El desarrollo se produce cuando DarkSide cerró definitivamente su programa de afiliados Ransomware-as-a-Service (RaaS) «debido a la presión de los EE. , junto con la promesa de compensar todas las obligaciones financieras pendientes antes del 23 de mayo.

Si bien los derribos marcan un giro sorpresa en la saga de Colonial Pipeline, vale la pena señalar que no hay evidencia para corroborar públicamente estas afirmaciones, lo que genera preocupaciones de que esto pueda ser una estafa de salida, una táctica encubierta que ha plagado los mercados ilegales de la red oscura en los últimos años, o que la pandilla da la impresión de que se está retirando del centro de atención solo para cambiar de marca y continuar sigilosamente sus operaciones en otro formato sin atraer una atención no deseada.

Según la empresa de análisis de blockchain Elliptic, la billetera de bitcoin utilizada por los extorsionadores de DarkSide recibió un pago de 75 BTC ($ 4,4 millones) realizado por Colonial Pipeline el 8 de mayo, luego de lo cual la billetera se vació de $ 5 millones en bitcoin el 13 de mayo. El monedero, que está activo desde el 4 de marzo, ha recibido un total de 57 pagos por valor de 17,5 millones de dólares de 21 monederos diferentes. Se estima que DarkSide ha ganado al menos 60 millones de dólares desde que apareció en el panorama de amenazas en agosto de 2020.

«Ha habido especulaciones de que los bitcoins fueron incautados por el gobierno de EE. UU., si ese es el caso, en realidad no incautaron la mayor parte del pago del rescate de Colonial Pipeline, la mayoría de eso se sacó de la billetera el 9 de mayo», dijo Elliptic. dijo el cofundador Tom Robinson.

Al rastrear las salidas anteriores de criptomonedas de la billetera, Elliptic dijo que el 18% de los bitcoins se envió a un pequeño grupo de intercambios, con un 4% adicional enviado a Hydra, el bazar de darknet más grande del mundo que atiende a clientes en Rusia y Europa del Este. Hydra representa más del 75 % de los ingresos del mercado de la red oscura en todo el mundo en 2020, lo que la posiciona como un jugador importante en el panorama de los delitos criptográficos, según Chainalysis.

Los reveses operativos de DarkSide y el mayor escrutinio que siguió al ataque de Colonial Pipeline también han puesto en marcha una ola de prohibiciones de RaaS en foros ilícitos de ciberdelincuencia como XSS, Exploit y RaidForums, lo que representa una importante interrupción a corto plazo de la economía del ransomware. REvil, uno de los prolíficos grupos de ransomware, ha introducido desde entonces nuevas restricciones que prohíben el uso de su software contra entidades de salud, educativas y gubernamentales pertenecientes a cualquier país.

Visto en este contexto, las acciones de XSS, Exploit y REvil pueden interpretarse como un «efecto dominó» de una serie de incidentes de ransomware de alto perfil en la última semana, incluido el de Babuk en el Departamento de Policía Metropolitana, que cada vez más grupos de delitos cibernéticos aterrizan en el punto de mira de la aplicación de la ley.

«Sin embargo, no hace falta decir que es casi seguro que el ransomware seguirá siendo una amenaza persistente en el futuro previsible dada su popularidad entre las comunidades ciberdelincuentes», dijo Flashpoint. «En todo caso, los ataques de ransomware probablemente seguirán creciendo tanto en escala como en frecuencia. Después del cierre de DarkSide, el panorama del ransomware está dominado por cuatro colectivos principales: REvil, LockBit, Avaddon y Conti».

A la luz de la negativa de XSS y Exploit de alojar operaciones RaaS en sus plataformas, se espera que los colectivos de ransomware se vuelvan privados y anuncien el reclutamiento de nuevos afiliados a través de sus propios sitios de fugas.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática