Según Bloomberg, Darkside habría robado más de 100 GB de datos corporativos en un plazo de 2 horas.
El 13 de Mayo, la compañía de Colonial Pipeline, habría pagado un rescate de cerca de 5 millones de dólares a cambio de la clave de descifrado.
El rescate se habría producido tras el ciberataque por ransomware a uno de los oleoductos más importantes de EE.UU..
Los sistemas del gigante del combustible estuvieron paralizados casi una semana, desde el 7 de Mayo. Actualmente, los servicios están casi por completo en funcionamiento.
Según Reuters, Colonial Pipeline tiene una cobertura por parte de su seguro antes posibles ataques cibernéticos de hasta 15 millones de dólares.
La desencriptación tras el pago
El pago se realizó al grupo de malware “DarkSide” mediante criptomonedas a cambio de recibir una clave de descifrado para poder restaurar los sistemas que dejaron de funcionar a causa del ransomware.
Sin embargo, el descifrador era tan lento que se decidió comenzar a utilizar las copias de seguridad para aligerar el trabajo de restablecimiento y restauración del sistema.
¿Quién es Darkside?
El ciberataque fue obra de DarkSide, un equipo de ransomware como servicio (RaaS), la variante de ransomware DarkSide se proporciona a los afiliados que se registran.
En donde los grupos de socios les dan a los desarrolladores del malware una parte de las ganancias obtenidas a través de intentos exitosos de extorsión mediante el ransomware.
Los afiliados de DarkSide también pueden usar tácticas de doble extorsión, en las que también se roban archivos corporativos durante el ataque.
Si una empresa se niega a pagar para descifrar sus sistemas, entonces se ve amenazada con la filtración pública de los datos robados.
Cabe señalar que los operadores de DarkSide se enfocaron en el lado comercial en lugar de los sistemas operativos, lo que implica que la intención estaba orientada al dinero en lugar de estar diseñada para hacer que el oleoducto colapsara.
Alarma por Ransomware en EE.UU
El FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitieron una alerta a lo largo de semana advirtiendo a las empresas sobre la amenaza continua de las operaciones de RaaS.
Las agencias federales, declararon no aprobar el pago de rescates exigidos por ciberdelincuentes.
¿Qué se sabe de Darkside?
Si bien se cree que es relativamente nuevo en la escena del ransomware, visto por primera vez en el verano de 2020, DarkSide ya ha creado un sitio web de filtraciones utilizado en campañas de doble extorsión.
Sin embargo, DarkSide no solo se contenta con ganar dinero con las demandas de ransomware, ya que el grupo ha indicado que trabajará felizmente con competidores o inversores antes de que se publiquen las filtraciones.
“Si la empresa se niega a pagar, estamos listos para brindar información antes de la publicación, para que sea posible ganar en el precio de descuento de las acciones”, dice el grupo.
Sin embargo, quizás de manera inusual, DarkSide también parece estar tratando de cultivar una imagen de Robin Hood y buen chico, robando a los ricos (los llamados objetivos del ‘gran juego’) y dando una parte de las ganancias criminales a la caridad.
En principio, las organizaciones benéficas a las que se han ofrecido donaciones en Bitcoin robado (BTC) hasta ahora se han negado a aceptarlas.
Los operadores del servicio RaaS también han tratado de distanciarse del incidente al insinuar vagamente que fue un cliente el culpable y que el ciberataque no se ajusta al espíritu de DarkSide.
“Somos apolíticos, no participamos en geopolítica, no necesitamos vincularnos con un gobierno definido y buscar otros motivos nuestros”, dijo DarkSide el 10 de mayo. “Nuestro objetivo es ganar dinero, y no crear problemas para la sociedad”.
Según IBM X Force
Según IBM X-Force, el malware, una vez implementado, roba datos, cifra los sistemas mediante los protocolos de cifrado Salsa20 y RSA-1024 y ejecuta un comando de PowerShell codificado para eliminar instantáneas de volumen.
Según Secure Works
SecureWorks los rastrea como Gold Waterfall y atribuye al grupo como un antiguo afiliado de habla rusa del servicio REvil ransomware RaaS.
Según BitDefender
Bitdefender lanzó un descifrador para el malware DarkSide en máquinas con Windows en Enero de 2021. Pero en respuesta, el grupo Darkside declaró que el descifrador se basaba en una clave comprada previamente y que puede que ya no funcione porque “este problema se ha solucionado”.