El pasado fin de semana un grupo asociado a los desarrolladores del ransomware DarkSide atacó los sistemas de Colonial Pipeline, que administra los oleoductos más importantes de E.U. Este ataque ha provocado enérgicas respuestas de las autoridades, incluso del presidente Joe Biden, quien se ha comprometido a interrumpir las operaciones de estos hackers.
No obstante, los desarrolladores de esta variante de ransomware aseguran haber perdido el control de sus servidores web e incluso de algunos de los fondos obtenidos de estos ataques: “Hace apenas unas horas perdimos el acceso a la parte pública de nuestra infraestructura, incluyendo nuestro blog, servidores de pago y servidores DoS”, mencionó uno de los operadores del ransomware.
“Estos servidores no están disponibles a través de SSH, y los paneles de alojamiento están bloqueados”, agregó el operador de Darkside a la vez que se quejaba de que el proveedor de alojamiento web se negaba a cooperar. El operador de Darkside también informó que los fondos de criptomonedas también se retiraron del servidor de pagos de este grupo de hacking, que alojaba los pagos de rescate realizados por las víctimas.
Estos fondos debían haber sido divididos entre los desarrolladores del ransomware y los atacantes, aunque durante este incidente fueron enviados a una billetera de criptomoneda controlada por un actor no identificado.
Como se menciona en párrafos anteriores, este incidente ocurrió luego de que las autoridades en E.U. dieran a conocer una serie de acciones para rastrear las actividades de DarkSide. El presidente Biden mencionó que dedicaría esfuerzos considerables para interrumpir las operaciones de este y otros grupos de ransomware como servicio (RaaS).
Por otra parte, algunos analistas de ransomware señalan que el anuncio de este grupo también podría tratarse de una treta, ya que en realidad el gobierno de E.U. solamente dio a conocer su intención de investigar sus operaciones: “Los hackers de DarkSide solo están tratando de aprovecharse de las declaraciones de Biden para ocultar su infraestructura y escapar con todo el dinero posible sin compartir nada del botín con los operadores de los ataques”, señala el investigador Dmitry Smilyanets.
Al respecto, un portavoz del Departamento de Justicia (DOJ) solo agregó que la investigación sigue en curso, por lo que no se pueden aportar más detalles.
Apenas una horas después del anuncio de DarkSide, los operadores de REvil también publicaron un comunicado en su plataforma de dark web mencionando que en breve, los hackers dejarán de operar como plataforma de ransomware como servicio, con lo que volverán a trabajar como una operación privada, lo que en la comunidad cibercriminal quiere decir que solo trabajarán con un número reducido de cómplices.
Este mensaje ha sido eliminado, aunque expertos reportan que REvil también se comprometió a no atacar sectores críticos como servicios de salud o instituciones de educación básica, ya que esto genera demasiada atención de las autoridades.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad