Detrás del ciberataque que paralizó este fin de semana una importante red de distribución de petróleo en Estados Unidos, las autoridades estadounidenses identificaron a “Darkside”, un grupo de piratas informáticos, de aparición reciente, que sigue el modelo de la ciberdelincuencia uberizada, según los expertos.
“Darkside” apareció públicamente en agosto del 2020 y se especializó en ataques cibernéticos contra empresas. El “ransomware” (o rescate) explota las lagunas de seguridad de una empresa o de un individuo cifrando y bloqueando sus sistemas informáticos, antes de exigir un rescate para desbloquearlos.
Compuesto, según los expertos, de ciberdelincuentes experimentados, “Darkside” también roba datos confidenciales a empresas a menudo basadas en países occidentales y reclama un rescate para “devolverlos”.
Si el grupo no consigue lo que quiere, también puede “subastar a otros piratas las bases de datos robadas”, explica el periodista Damien Bancal, del sitio Zataz.com, especializado en la infiltración de las redes subterráneas de intercambio de datos.
Grupos como “Darkside” también pueden amenazar con hacer públicos los datos robados. “El monto de un rescate (del grupo) +Darkside+ puede oscilar entre US$ 200,000 y US$ 2 millones” estimaba la agencia de la seguridad informática francesa Anssi en una nota en febrero.
Franquicia y piratas “afiliados”
Pero el grupo “Darkside” no lleva a cabo por si mismo todas estas incursiones. Utiliza un modelo “a la moda desde hace 2 o 3 años en el ransomware”, el de la ciberdelincuencia franquiciada, o uberizada, explica Bancal.
Adaptando a un uso criminal el método de Uber -que se remunera tomando una comisión sobre su aplicación de conexión entre clientes y conductores-, “Darkside” propone una plataforma de rescate a piratas informáticos “afiliados”, precisa Gerome Billois experto en seguridad de Wavestone.
Este grupo, que sigue siendo “pequeño” en el ámbito de la ciberpiratería, dispone de un verdadero “marketing del fraude” y propone también a los piratas una “opción SAV” para negociar directamente con las empresas víctimas, añade Damien Bancal de Zataz.com.
¿Con base en Rusia?
En un comunicado publicado en el “darknet” (internet profundo), el grupo asegura que no tiene motivación política ni conexión con un gobierno, y afirma que su “objetivo es ganar dinero, no crear problemas para la sociedad”.
Según las autoridades estadounidenses, el grupo estaría basado en Rusia. Si bien el presidente Joe Biden no acusó directamente al Kremlin de ser el responsable de este ataque, “hay pruebas de que los actores y el ransomware están en Rusia”, agregó.
La embajada rusa en Estados Unidos negó el martes cualquier implicación de Moscú en este ataque informático que paralizó a Colonial Pipeline, uno de los mayores operadores de oleoductos estadounidenses.
Sin embargo, algunos expertos sospechan que “Darkside” está relacionado con Moscú. “Creemos que está operando (y que posiblemente es) protegido por Rusia”, tuiteó este fin de semana Dmitri Alperovitch, un experto en seguridad informática, fundador de la empresa Crowdstrike.
Según la empresa rusa Kaspersky, especialista en antivirus informático, los miembros de “Darkside no esperaban consecuencias de esta magnitud después del último ataque” en Estados Unidos, y “prevén introducir de ahora en adelante una especie de +moderador+ con el fin de evitar que este tipo de situaciones se reproduzcan”.