¿Ha sido el final del grupo criminal DarkSide y su ransomware?




por Víctor Ruiz, fundador de SILIKN y mentor del Centro de Ciberseguridad 05000

El pasado 13 de mayo de 2021, el grupo de cibercriminales y el ransomware que desarrollaron, conocidos ambos como DarkSide, dieron a conocer que dejarían de operar el programa DarkSide RaaS (Ransomware como servicio, por sus siglas en inglés) y esto parecía ser el fin de esta banda delictiva.

No obstante un par de días después se encontró una variante de DarkSide con nuevas funciones, con lo cual se han disparado nuevamente las alertas ya que esta nueva amenaza podría significar que DarkSide mantendrá sus operaciones — quizá con otro nombre — y que podrían también continuar con su programa de afiliados, e incluso, reclutando más.

Lo que se sabe hasta el momento, es que DarkSide ha dirigido los ataques a decenas de organizaciones en los sectores de servicios financieros, tecnología, legal, fabricación, venta minorista y servicios profesionales, a través de un sofisticado programa RaaS, en donde los esquemas eran:

a) Los afiliados compraban el ransomware y controlaban todo el ataque.

b) Los afiliados proporcionarían el acceso y DarkSide llevaría a cabo el ataque.

c) DarkSide proporcionaría el acceso y los afiliados ejecutarían el ataque.

d) DarkSide se encargaba de efectuar el ataque completo en objetivos realmente atractivos.

En los casos a, b y c, las ganancias de cualquier extorsión exitosa se dividían entre DarkSide y los afiliados.

Por lo anterior, aún cuando fuera sencillo reconocer que el ataque había sido realizado con el ransomware DarkSide, la principal dificultad era saber quién estaba llevando a cabo el ataque. Se calcula que en todo su periodo de operaciones DarkSide y sus afiliados han recaudado más de $ 90 millones de dólares en Bitcoin.

Como se mencionó, el 13 de mayo de 2021, DarkSide anunció el cese de su programa de afiliados. El grupo criminal dijo — sin poder comprobarse — que había perdido acceso a sus servidores de pagos y a su blog y, además, que los fondos que tenían habían sido retirados a una cuenta desconocida, lo cual levantó sospechas entre analistas del sector, así como conjeturas acerca de que si DarkSide había cerrado sus operaciones para no compartir las ganancias con sus afiliados, si realmente fueron víctimas de un ataque de alguna banda rival o si el gobierno de Estados Unidos logró presionarlos por el insolente ataque contra Colonial Pipeline.

Lo que todavía no está claro es si DarkSide ha desaparecido o no. Un punto a señalar es que los grupos de cibercriminales comparten o copian técnicas y metodologías entre ellos. Así que podría haber delincuentes que usen las tácticas de DarkSide, aún si este grupo desaparece.

De igual forma, no es probable que DarkSide cierre por completo. El asunto es que se ha vinculado a sus principales dirigentes con la nacionalidad rusa, por lo cual es difícil buscarlos en aquel país, y más complicado, hacer que salgan de Rusia para arrestarlos y juzgarlos en otras naciones.

No hay nada que indique el final permanente de DarkSide. Tanto los miembros de la banda criminal, como el código de ransomware todavía existen. Y el ransomware está lejos de desaparecer porque sigue generando altos ingresos.

Es probable que DarkSide regrese. Puede tener un nombre diferente y un software actualizado y mejorado. Puede surgir un grupo criminal nuevo que use el nombre y el software de DarkSide. Lo que sí es preocupante es que el modelo RaaS es demasiado efectivo y rentable para ser abandonado permanentemente, por lo cual debemos mantenernos alertas.

Para más información, visite: https://www.silikn.com/