La soga pareció apretarse el viernes alrededor de los piratas informáticos de DarkSide, detrás del ciberataque contra el operador estadounidense de oleoductos Colonial Pipeline: expertos dicen que sus servidores quedaron fuera de servicio y sus mensajes fueron eliminados de un gran foro de ciberdelincuentes rusos.
La firma de ciberseguridad Recorded Future dijo que el pirata informático que exigió un rescate a Colonial Pipeline admitió que su grupo DarkSide había perdido acceso a varios de los servidores utilizados para alojar su blog o para cobrar.
Accesible a través del navegador TOR en la darknet, la versión clandestina de internet, el sitio de DarkSide no podía verse el viernes por la mañana.
“Hace unas horas, perdimos el acceso a la parte pública de nuestra infraestructura, a saber: Blog. Servidor de pago. Servidores DoS”, escribió Darksupp, citado por Recorded Future.
Los ataques de denegación de servicio (DoS) tienen como objetivo cerrar un sitio web sobrecargándolo con tráfico.
Darksupp también indicó que habían sido eliminados los fondos de criptomonedas, utilizados para pagar los rescates exigidos por el grupo de piratas informáticos.
Un analista de Recorded Future cree sin embargo que esto puede ser un subterfugio de DarkSide para poder cerrar su propia infraestructura y así evitar pagarle a sus asociados.
Esta táctica es conocida como “estafa de salida” (‘exit scam’, en inglés) en la comunidad de delitos cibernéticos.
No hubo evidencia de quién pudo haber forzado la desconexión del sitio web de DarkSide, pero la cuenta de Twitter de 780th Military Intelligence Brigade, una brigada de operaciones ofensivas del ciberespacio del Ejército estadounidense, retuiteó el viernes el informe de Recorded Future.
DarkSide surgió públicamente por primera vez en agosto del 2020 y se especializa en lo que se conoce como ‘ransomware’: programas que se infiltran en la red informática de una víctima y luego encriptan datos en sus máquinas, bloqueando así las operaciones. Luego, los delincuentes exigen el pago de un rescate para liberar los datos.
La policía federal estadounidense, FBI, identificó el lunes a DarkSide como el grupo detrás del ‘ransomware’ contra Colonial Pipeline la semana pasada, que forzó el cierre de la operativa de la empresa.
El mismo lunes, el presidente estadounidense Joe Biden acusó a piratas informáticos “con sede en Rusia” de llevar a cabo el ciberataque, sin afirmar que el gobierno ruso estuviera directamente involucrado.
Biden dijo el jueves que estaba “en comunicación directa con Moscú sobre la necesidad de que los países responsables tomen medidas decisivas contra estas redes de ‘ransomware’”.
Eliminado de foro ruso
Según los investigadores de la plataforma de protección de amenazas digitales Dark Shadows, todas las publicaciones de DarkSide en el foro de ciberdelincuentes de habla rusa fueron eliminadas.
En cambio, los anuncios de reclutamiento de DarkSide en otra popular plataforma de piratas informáticos en ruso, Exploit, aún estaban activos, aunque no se han actualizado desde abril y no hacen referencia al ataque contra Colonial Pipeline.
De acuerdo con información de Bloomberg, Colonial Pipeline habría pagado 5 millones de dólares a los piratas informáticos, lo cual contradice un reporte del Washington Post, que afirma que la empresa no pagó dinero para desbloquear sus sistemas.
Consultado por AFP, un vocero de Colonial Pipeline no hizo comentarios y solo indicó que hay una investigación en curso.
La administración Biden también se abstuvo de comentar y enfatizó que las empresas deberían fortalecer su seguridad informática.
Colonial Pipeline, que transporta cerca del 45% del combustible desde el Golfo de México a la costa este de Estados Unidos, dijo el jueves por la noche que había reiniciado toda su red y reanudado las entregas, aunque las estaciones de servicio en la costa este aún reportaban escasez tras una ola de compras de pánico.
Varios grupos, incluido DarkSide antes de su cierre, publicaron información reciente sobre empresas cuyos datos habían sido pirateados y estaban retenidos para pagos que pueden ascender a millones de dólares.
La autoridad sanitaria de Irlanda dijo el viernes que había apagado sus sistemas informáticos después de experimentar un “importante ataque de ‘ransomware’”.
Y otro grupo, Babuk, que ha estado publicando en internet archivos robados del departamento de policía metropolitana de Washington, siguió haciéndolo mientras exige un pago de siete cifras al principal organismo de seguridad de la capital de Estados Unidos.