Trend Micro Research encontró cómo opera DarkSide y a qué organizaciones se dirige normalmente.
En días pasados un oleoducto, responsable de casi la mitad del suministro de combustible para la costa este de EE. UU., tuvo que cerrar sus operaciones ante un ataque de ransomware del que fue blanco. Las tiendas de gasolina, diesel, aceite para calefacción, combustible para aviones y suministros militares se vieron gravemente afectadas, y la Administración Federal de Seguridad de Autotransportistas (FMCSA) declaró el estado de emergencia en 18 estados para hacerle frente a la escasez.
El FBI ha confirmado que DarkSide es un grupo de ciberdelincuentes que se originó en Europa del Este y estaría detrás del ataque; el ransomware utilizado pertenece a una familia relativamente nueva, detectada por primera vez en agosto de 2020.
Además de bloquear todos los sistemas informáticos de la petrolera, DarkSide también robó más de 100 GB de datos corporativos. Este robo de datos es aún más relevante a la luz del hecho de que el grupo tiene un historial de extorsionar doblemente a sus víctimas, no solo pidiendo dinero para desbloquear las computadoras afectadas, y exigiendo el pago por los datos capturados, sino también amenazando con filtrar los datos robados.
El grupo anunció el 12 de mayo que tenía tres víctimas más: una empresa de construcción con sede en Escocia, un revendedor de productos de energía renovable en Brasil y una empresa de tecnología de en los EE.UU. Los actores de DarkSide afirmaron haber robado un total de 1,9 GB de datos de estas empresas, incluida información confidencial como datos de clientes, datos financieros, pasaportes de empleados y contratos.
Dado que DarkSide es un ransomware-as-a-service (RaaS), es posible que tres grupos de afiliados diferentes estén detrás de estos tres ataques. Incluso los propios actores de DarkSide admiten que simplemente compran el acceso a las redes de la empresa.
Objetivos de ransomware DarkSide
Sobre la base de los sitios de filtración, DarkSide determina si debe perseguir una posible organización víctima, al observar principalmente los registros financieros. También utiliza esta información para determinar la cantidad de rescate a exigir, con una demanda de rescate típica que asciende a entre US$200.000 y US$2 millones.
Los informes dicen que, según los sitios de filtración, hay al menos 90 víctimas afectadas por DarkSide. En total, más de 2 TB de datos robados se alojan actualmente en los sitios de DarkSide y se filtra el 100% de los archivos robados de las víctimas.
Los actores detrás de Darkside han declarado que evitan apuntar a empresas en ciertas industrias, incluida la atención médica, la educación, el sector público y las ONG’s. Identifican como blancos a las fábricas, compañías del sector financiero, e infraestructura de misión crítica.
Según los datos de Trend Micro, EE. UU. es el país objetivo de DarkSide con más de 500 detecciones, seguido de Francia, Bélgica y Canadá.
Después del ataque a Colonial Pipeline, DarkSide emitió un comunicado en uno de sus sitios de filtraciones, aclarando que el grupo no deseaba crear problemas para la sociedad y que su objetivo era simplemente ganar dinero. El ransomware es una amenaza ya conocida, pero en constante evolución. Como lo demuestran las actividades recientes de DarkSide, el ransomware moderno ha cambiado en muchos aspectos: objetivos más grandes, técnicas de extorsión más avanzadas y consecuencias de mayor alcance más allá de las propias víctimas.
“Quienes llevan a cabo ataques ransomware a las empresas- de cualquier tamaño-, no buscan simplemente bloquear los datos contenidos en los computadores de los usuarios para pedir un rescate, sino que buscan profundizar a lo largo y ancho de las redes de la organización, ampliando el impacto del ataque y logrando así nuevas formas de monetizar el robo de información. Si bien los datos empresariales comprometidos son bien pagados en los mercados clandestinos, ahora el blanco de los ataques son los servidores empresariales, desde donde no solamente pueden llegar a los datos como tal sino a impactar la operación del negocio en sí. Las organizaciones hoy más que nunca deben tener un plan preventivo y de respuesta ante incidentes basados en ataques tipo ransomware, educar a los usuarios, diseñar políticas y protocolos, y apoyarse con tecnología de punta anti-malware en todos los frentes” menciona Ignacio Triana, gerente de Tecnología para MCA en Trend Micro.
Desafortunadamente, algunas organizaciones pueden estar poniendo la ciberseguridad en un segundo plano. Por ejemplo, algunos expertos en seguridad señalaron que Colonial Pipeline estaba utilizando una versión vulnerable de Microsoft Exchange previamente explotada, entre otros fallos de ciberseguridad. Un ataque exitoso a una empresa que brinda servicios críticos tendrá efectos en cadena que dañarán a múltiples sectores de la sociedad, por lo que proteger estos servicios debe ser una prioridad absoluta.