El FBI confirmó este lunes que un ataque de ransomware del misterioso grupo DarkSide forzó el cierre de la red Colonial Pipeline que suministra combustible a gran parte de Estados Unidos.

“El FBI confirma que el ‘ransomware’ DarkSide es responsable de comprometer las redes de Colonial Pipeline”, una empresa que envía combustible desde la Costa del Golfo de Texas a la populosa Costa Este a través de 8.850 kilómetros de oleoductos, atendiendo a 50 millones de consumidores, informó el Buró Federal de Investigaciones (FBI) en un comunicado.

Por su parte, Colonial Pipeline, confirmó que inicia una reapertura “por etapas” y que planea recuperar la capacidad para el fin de semana, lo que podría significar que pagó el rescate exigido por los hackers. Habitualmente, los montos de dinero están cubiertos por pólizas de seguro.

El oleoducto transporta gasolina y otros combustibles desde Texas hasta el noreste del país. Entrega casi el 45% de la gasolina que se consume en la costa este, según la empresa. Fue afectado por lo que Colonial describió como un ataque de “ransomware”, en el que los hackers suelen encriptar información para bloquear el acceso a los sistemas de cómputo, lo cual paraliza las redes, y luego exigen un cuantioso rescate para liberar la red.

DarkSide es uno de los grupos de “ransomware” que han “profesionalizado” un sector delictivo que les ha causado decenas de miles de millones de dólares en pérdidas a algunos países de Occidente en los últimos tres años.

Expertos especulan que DarkSide tiene base en un país de Europa del Este. La organización asegura que no ataca blancos médicos, educativos ni gubernamentales, sino solamente a las grandes compañías, y que dona una porción de lo obtenido a organizaciones de caridad. Ha estado activo desde agosto y, tal como lo hacen los grupos más poderosos de “ransomware”, es conocido por no atacar organizaciones en países que solían pertenecer al bloque soviético.

Colonial Pipeline dijo el domingo que está desarrollando un plan de “reinicio de sistema”. Indicó que su oleoducto principal continúa fuera de servicio, pero que algunos de los ductos de menor tamaño ya se encuentran en operaciones. “Estamos en el proceso de restaurar el servicio a otros ramales y restableceremos por completo nuestro sistema en línea sólo cuando creamos que es seguro hacerlo, y en pleno cumplimiento con la aprobación de todas las regulaciones federales”, señaló la compañía en un comunicado.

Darkside afirmó anteriormente tener una especie de “código de ética” en el que no atacarían a los siguientes tipos de organizaciones.:

• Sector gubernamental.
• Educación (escuelas, universidades).
• Organizaciones sin ánimo de lucro.
• Servicios funerarios (Morgues, crematorios, funerarias).
• **Medicina **(solo: hospitales, cualquier organización de cuidados paliativos, residencias de ancianos, empresas que desarrollan y participan (en gran medida) en la distribución de la vacuna COVID-19).

Ahora afirman que examinarán todos los objetivos de sus afiliados antes de realizar ataques.

Salu2

Gracias por el aporte @Emanuel - pero desafortunadamente la herramienta de descifrado gratuito de BitDefender funciona únicamente con la vieja version 1.0 de DarkSide ransomware.

La liberaron el pasado 11 de Junio y un día después, los operadores de DarkSide ya habían liberado la version 2.0 corrigiendo su error interno y haciéndola imposible de descifrar gratuitamente.

Salu2

Los atacantes de ransomware de oleoductos de EE. UU. Se oscurecen después de la intrincación de servidores y Bitcoin

Justo cuando Colonial Pipeline restauró todos sus sistemas al estado operativo a raíz de un incidente de ransomware paralizante hace una semana, DarkSide, el sindicato de delitos cibernéticos detrás del ataque, afirmó que perdió el control de su infraestructura, citando una incautación de la aplicación de la ley.

Todos los sitios web de la web oscura operados por la pandilla, incluido su blog DarkSide Leaks, el sitio de recolección de rescates y los servidores de la red de entrega de contenido de datos (CDN), se han apagado y permanecen inaccesibles al momento de la redacción. Además, los fondos de sus billeteras de criptomonedas fueron supuestamente exfiltrados a una cuenta desconocida, según una nota transmitida por los operadores de DarkSide a sus afiliados.

“Por el momento, no se puede acceder a estos servidores a través de SSH, y los paneles de alojamiento han sido bloqueados”, se lee en el anuncio obtenido por Intel 471.

El desarrollo se produce cuando DarkSide cerró su programa de afiliados de Ransomware-as-a-Service (RaaS) para siempre “debido a la presión de los EE. UU.”, Y el grupo declaró que emitirían descifradores a todos sus afiliados para las empresas que fueron atacadas. , junto con la promesa de compensar todas las obligaciones financieras pendientes antes del 23 de mayo.

https://twitter.com/MarceloRivero/status/1393239667395420161

Si bien los derribos marcan un giro sorpresa en la saga Colonial Pipeline, vale la pena señalar que no hay evidencia para corroborar públicamente estas afirmaciones, lo que genera preocupaciones de que esto pueda ser una estafa de salida, una táctica clandestina que ha plagado los mercados ilegales de la red oscura en los últimos años, o que la pandilla está dando la impresión de que se está retirando del centro de atención solo para cambiar la marca y continuar sigilosamente sus operaciones en otro formato sin atraer atención no deseada.

Según la compañía de análisis de blockchain Elliptic, la billetera bitcoin utilizada por los extorsionadores de DarkSide recibió un pago de 75 BTC ($ 3.2 millones) realizado por Colonial Pipeline el 8 de mayo, luego de lo cual la billetera se vació de $ 5 millones en bitcoin el 13 de mayo. , que ha estado activo desde el 4 de marzo, ha recibido un total de 57 pagos por valor de $ 17,5 millones de 21 carteras diferentes. Se estima que DarkSide tiene al menos $ 60 millones desde que surgió en el panorama de amenazas en agosto de 2020.

En una nota publicada el día de hoy 19 de mayo por el Washington Post, dicen los funcionarios que “El gobierno de EE.UU. no estuvo detrás de la interrupción de la semana pasada de la red de ransomware DarkSide”…

Por lo que pareciera que si es lo que se llama una “estafa de salida” mintiendo de que le incautaron los fondos para quedarse con todo el dinero para si mismos y desaparecer en lo oscuro de la web.

De hecho, desde el pasado viernes, al menos cuatro delincuentes afiliados a DarkSide se han quejado en un foro de piratas informáticos de que no se han pagado las tarifas que se les adeudan.

LOL

Los últimos acontecimientos de este caso han seguido siendo bastante interesantes… con lo que podríamos decir que es casi el final de la miniseries de DarkSide ransomware:

• El FBI rastreó el pago del rescate en múltiples direcciones de Bitcoin, mientras el grupo Darkside movía los fondos
• El FBI pudo incautar los fondos (63,7 de un total de 75 BTC Bitcoin - unos $2.5 millones de dolares) tras obtener una de las claves privadas de una de las cuentas donde se almacenaban los BTCs
• Esto gracias al “Ransomware Task Force” creado recientemente por el Departamento de Justicia de los EEUU

Salu2