DarkSide, la “ciberbanda” de Rusia que chantajea a cambio de millonarias sumas en dinero virtual

Apenas unas semanas antes de que la banda de ransomware conocida como DarkSide atacara a la empresa propietaria de un importante oleoducto de Estados Unidos, interrumpiendo el suministro de nafta y combustible para aviones en toda la costa este, el grupo le apretaba los tornillos a una pequeña editorial familiar con sede en el medio oeste estadounidense.

En colaboración con un pirata informático llamado Woris, DarkSide lanzó una serie de ataques destinados a cerrar los sitios web de la editorial, que trabaja principalmente con clientes del sector de la educación primaria, si se negaba a cumplir con un pedido de rescate de 1,75 millones de dólares. Incluso amenazó con ponerse en contacto con los clientes de la empresa para advertirles falsamente que había obtenido información que, según la banda, podía ser utilizada por pedófilos para fabricar tarjetas de identificación falsas que les permitieran entrar a las escuelas.

A Woris le pareció que esta última estratagema era un toque especialmente simpático.

“Me reí con toda el alma de la posibilidad de que las identificaciones filtradas fueran utilizadas por pedófilos para entrar a la escuela“, dijo en ruso en un chat secreto con DarkSide que obtuvo The New York Times. “No pensé que fuera a asustarlos tanto”.

El ataque de DarkSide a la propietaria del oleoducto, Colonial Pipeline, con sede en Georgia, no sólo lanzó a la banda a la escena internacional. También puso de relieve una industria delictiva en rápida expansión, basada principalmente en Rusia, que ha pasado de ser una especialidad que exigía conocimientos muy sofisticados de piratería informática a convertirse en un proceso similar a una cinta transportadora. Ahora, incluso los sindicatos criminales de poca monta y los hackers con capacidades informáticas mediocres pueden suponer una amenaza potencial para la seguridad nacional.

El ataque de DarkSide a la propietaria del oleoducto, Colonial Pipeline, con sede en Georgia, no sólo lanzó a la banda a la escena internacional,

Mientras que antes los delincuentes tenían que manipular psicológicamente a la gente para que les revelara sus contraseñas bancarias y poseían los conocimientos técnicos necesarios para desviar dinero de cuentas personales seguras, ahora prácticamente cualquiera puede tomar un ransomware de la estantería y cargarlo en un sistema informático comprometido utilizando trucos sacados de tutoriales de YouTube o con la ayuda de grupos como DarkSide.

“Ahora, cualquier tonto puede ser un ciberdelincuente”, afirma Sergei A. Pavlovich, ex hacker que cumplió diez años de prisión en su Bielorrusia natal por cometer ciberdelitos. “La barrera intelectual de entrada se ha vuelto sumamente baja”.

Todo servicio

Un vistazo a las comunicaciones secretas de DarkSide en los meses anteriores al ataque a Colonial Pipeline revela una operación criminal en crecimiento, que obtiene mensualmente millones de dólares en pagos de rescates.

DarkSide ofrece lo que se conoce como “ransomware como servicio”, en el que un desarrollador de malware cobra una cuota de usuario a los llamados afiliados que, como Woris, pueden no tener los conocimientos técnicos necesarios para crear un ransomware, pero que pueden introducirse en los sistemas informáticos de una víctima.

Los servicios de DarkSide incluyen la prestación de soporte técnico a los hackers, la negociación con blancos como la empresa editorial, la tramitación de los pagos y la elaboración de campañas de presión a medida mediante el chantaje y otros medios, como los hackeos secundarios para hacer colapsar sitios web. Las tarifas de DarkSide operaban en una escala móvil: del 25% para los rescates inferiores a 500.000 dólares al 10% para los rescates superiores a 5 millones de dólares, según la empresa de seguridad informática FireEye.

Al parecer, DarkSide, al ser una empresa nueva, tuvo que enfrentarse a problemas de crecimiento. En el chat con alguien del servicio de atención al cliente del grupo, Woris se quejaba de que la plataforma de ransomware de la banda era difícil de usar, lo que le insumía tiempo y dinero mientras trabajaba con DarkSide para extorsionar a la editorial estadounidense.

“Ni siquiera entiendo cómo hacer negocios en su plataforma”, se quejaba en un intercambio en algún momento de marzo. “Estamos perdiendo mucho tiempo cuando hay cosas que hacer. Entiendo que les importa una mierda. Si no somos nosotros, otros les harán un pago. Es cantidad, no calidad“.

Colonial Pipeline Co, la compañía atacada por la ciberbanda. Foto Bloomberg

El Times obtuvo acceso al “tablero” interno que los clientes de DarkSide utilizaban para organizar y llevar a cabo los ataques de ransomware. La información para loguearse fue proporcionada al Times por un ciberdelincuente a través de un intermediario. El Times se reserva el nombre de la empresa implicada en el ataque para evitar más represalias de los hackers.

El acceso al tablero de control de DarkSide permitió echar una mirada fuera de lo común al funcionamiento interno de una banda de habla rusa que se ha convertido en la cara del ciberdelito mundial. Representado en un austero blanco y negro, el tablero permitía a los usuarios acceder a la lista de objetivos de DarkSide, así como a un ticker de ganancias en vivo y una conexión con el personal de atención al cliente del grupo, con el que los afiliados podían elaborar estrategias para presionar a sus víctimas.

El tablero seguía funcionando el 20 de mayo, cuando un periodista del Times entró en él, a pesar de que una semana antes DarkSide había emitido un comunicado en el que anunciaba que cerraba. Un empleado del servicio de atención al cliente respondió casi de inmediato a una solicitud de chat enviada desde la cuenta de Woris por el periodista del Times. Pero cuando el periodista se identificó como tal, la cuenta fue inmediatamente bloqueada.

Ya antes del ataque a Colonial Pipeline, el negocio de DarkSide estaba en auge. Según la empresa de ciberseguridad Elliptic, que ha estudiado los monederos de Bitcoin de DarkSide, la banda ha recibido unos 15,5 millones de dólares en Bitcoin desde octubre de 2020, y otros 75 millones de dólares han ido a parar a sus afiliados.

Las importantes ganancias de una banda delictiva tan joven –la fundación de DarkSide se remonta apenas a agosto pasado, según los investigadores de seguridad informática- ponen de relieve cómo las bandas clandestinas de cibercriminales de habla rusa han crecido como hongos en los últimos años. Este crecimiento se ha visto favorecido por el auge de criptomonedas como el Bitcoin, que han hecho prácticamente obsoleta la necesidad de contar con las antiguas mulas de dinero, que a veces tenían que pasar físicamente el dinero a través de las fronteras.

Los expertos en ciberseguridad afirman que, en sólo un par de años, el ransomware se ha convertido en un negocio muy organizado y sumamente compartimentado. Hay determinados hackers que irrumpen en los sistemas informáticos y otros cuyo trabajo consiste en tomar su control. Hay especialistas en soporte técnico y expertos en lavado de dinero. Muchas bandas criminales tienen incluso portavoces oficiales que se encargan de las relaciones con los medios de comunicación y la divulgación.

En muchos sentidos, la estructura organizativa de la industria rusa del ransomware imita a franquicias como McDonald’s o Hertz, que reducen las barreras de entrada y permiten una fácil duplicación de prácticas y técnicas comerciales probadas. El acceso al tablero de control de DarkSide fue todo lo que se necesitó para ser afiliado de DarkSide y, si se deseaba, descargar una versión básica del ransomware utilizado en el ataque a Colonial Pipeline.

Aunque el Times no adquirió ese software, la editorial le permitió ver lo que era ser víctima de un ataque del ransomware de DarkSide.

Cómo operan

Lo primero que ve la víctima en la pantalla es una carta de pedido de rescate con instrucciones y leves amenazas.

“Bienvenido a DarkSide”, dice la carta en inglés, antes de explicar que las computadoras y los servidores de la víctima han sido encriptados y las copias de seguridad eliminadas.

Para desencriptar la información, las víctimas son dirigidas a un sitio web donde deben introducir una clave especial. La carta aclara que pueden llamar a un equipo de soporte técnico si tienen algún problema.

“¡¡¡PELIGRO!!! NO MODIFIQUE ni trate de RECUPERAR ningún archivo usted mismo”, dice la carta. “NO PODREMOS RESTAURARLOS”.

Colonial Pipeline Co. Foto Bloomberg

El software de DarkSide no sólo bloquea los sistemas informáticos de las víctimas, sino que también roba información bajo patente, lo que permite a los afiliados exigir un pago no sólo por desbloquear los sistemas, sino también por abstenerse de divulgar públicamente información sensible de la empresa.

En el registro del chat visto por el Times, un empleado del servicio de atención al cliente de DarkSide se jactaba ante Woris de haber participado en más de 300 ataques de ransomware y trataba de darle tranquilidad.

“Estamos tan interesados en las ganancias como tú”, decía el empleado.

Juntos urdieron el plan para poner en aprietos a la editorial, una empresa familiar casi centenaria con sólo unos cientos de empleados.

Además de apagar los sistemas informáticos de la empresa y lanzar la amenaza de pedofilia, Woris y el soporte técnico de DarkSide redactaron una carta de chantaje para enviarla a los directivos de las escuelas y a los padres que eran clientes de la empresa.

“Estimados docentes de la escuela y padres”, decía la carta, “no tengo nada personal contra ustedes, es sólo un negocio“. (Un portavoz de la empresa dijo que DarkSide nunca se puso en contacto con ningún cliente, pero sí con varios empleados.) Además, utilizando un nuevo servicio que DarkSide introdujo en abril, planeaban cerrar los sitios web de la empresa con ataques DDoS (distributed denial-of-service, negación de servicio distribuida), en los que los hackers sobrecargan la red de una empresa con pedidos falsos.

Las negociaciones con DarkSide por el rescate duraron 22 días y se llevaron a cabo por correo electrónico o en el blog de la banda con un hacker o hackers que sólo hablaban un inglés chapurreado, dijo el portavoz de la empresa. Las negociaciones se interrumpieron en marzo por la negativa de la empresa a pagar el rescate de 1,75 millones de dólares. Al parecer, DarkSide se enojó y amenazó con filtrar la noticia del ataque a los medios periodísticos.

“Ignorar es una estrategia muy mala para ustedes. No tienen mucho tiempo”, escribió DarkSide en un correo electrónico. “Después de dos días haremos público el post de su blog y enviaremos esta noticia a todos los grandes medios masivos. Y todo el mundo verá su catastrófica filtración de datos”.

Solo ganar dinero

Pese a todas las tácticas de intimidación, DarkSide no carece por completo de brújula moral. En una lista de normas publicada en el tablero, el grupo decía que estaban prohibidos los ataques contra blancos educativos, médicos o gubernamentales.

En sus comunicaciones, DarkSide trataba de ser cortés, y el grupo esperaba lo mismo de los hackers que utilizaban sus servicios. El grupo, después de todo, “aprecia mucho nuestra reputación”, decía DarkSide en una comunicación interna.

“Ofender o ser grosero con los blancos sin razón alguna está prohibido”, decía DarkSide. “Nuestro objetivo es ganar dinero mediante un diálogo normal y tranquilo”.

Otra regla importante adoptada por DarkSide, junto con la mayoría de los demás grupos cibercriminales de habla rusa, subraya una realidad del ciberdelito moderno. Están estrictamente vedados los ataques a cualquier persona que viva en la Comunidad de Estados Independientes, un conjunto de ex repúblicas soviéticas.

Los expertos en ciberseguridad afirman que la restricción “no trabajes en .ru”, en referencia al sufijo del dominio nacional ruso, se ha convertido en algo habitual en la comunidad de hackers de habla rusa, para evitar problemas con las fuerzas de seguridad rusas. Las autoridades rusas han dejado en claro que rara vez perseguirán a los ciberdelincuentes por ataques de ransomware y otros ciberdelitos fuera de Rusia.

Como resultado de ello, Rusia se ha convertido en un centro mundial de ataques de ransomware, dicen los expertos. La empresa de ciberseguridad Recorded Future, con sede en las afueras de Boston, rastrea a unos 25 grupos de ransomware, de los cuales se cree que unos quince -incluidos los cinco más grandes- tienen su sede en Rusia u otros lugares de la antigua Unión Soviética, dijo un experto en inteligencia de amenazas de la empresa, Dmitry Smilyanets.

El mismo Smilyanets es un ex hacker ruso que pasó cuatro años en una cárcel federal por cometer ciberdelitos. Según él, Rusia se ha convertido en un “invernadero” de ciberdelincuentes.

“En Rusia se creó un clima en el que los ciberdelincuentes se sentían muy bien y podían prosperar”, dijo Smilyanets. “Cuando alguien se siente cómodo y confía en que no será detenido al día siguiente, empieza a actuar con más libertad y descaro”.

El presidente de Rusia, Vladimir V. Putin, ha dejado las reglas perfectamente claras. Cuando, en una entrevista de 2018, la periodista estadounidense Megyn Kelly lo presionó para que dijera por qué Rusia no detenía a los hackers que presuntamente habían interferido en las elecciones estadounidenses, le respondió que no había ningún motivo para detenerlos.

“Si no violaron las leyes rusas, no hay nada por lo que procesarlos en Rusia”, dijo Putin. “Deben darse cuenta de una vez de que los habitantes de Rusia viven conforme a las leyes rusas, no conforme a las estadounidenses”.

Después del ataque a Colonial, el presidente Joe Biden dijo que los funcionarios de inteligencia tenían pruebas de que los hackers eran de Rusia, pero que aún no habían encontrado ningún vínculo con el gobierno.

“Hasta ahora no hay evidencias fundamentadas de nuestra gente de inteligencia de que Rusia esté involucrada, aunque hay evidencias de que los actores, el ransomware, están en Rusia”, declaró, y agregó que las autoridades rusas “tienen alguna responsabilidad de ocuparse de esto”.

Este mes, el personal de apoyo de DarkSide se apresuró a reaccionar ante el cierre de partes del sistema, que el grupo atribuyó, sin pruebas, a la presión de Estados Unidos. En un posteo del 8 de mayo, el día siguiente a que se hiciera público el ataque a Colonial, el personal de DarkSide parecía esperar alguna solidaridad de sus afiliados.

“Ahora existe la opción de dejar una propina para Soporte en la sección de ‘pagos'”, decía la publicación. “Es optativo, pero Soporte se alegrará :)”.

Días después de que el FBI identificara públicamente a DarkSide como el culpable, Woris, que aún no había obtenido el pago de la editorial, se puso en contacto con el servicio de atención al cliente, aparentemente preocupado.

“Hola, ¿cómo va todo?”, escribió. “Les han pegado fuerte”.

Fue la última comunicación de Woris con DarkSide.

Días después, en el tablero apareció un mensaje que decía que el grupo no estaba cerrando exactamente, como había dicho que haría, sino vendiendo su infraestructura para que otros hackers pudieran continuar con el redituable negocio del ransomware.

“El precio es negociable”, escribió DarkSide. “Mediante el lanzamiento de un programa de asociación análogo es posible obtener una ganancia de 5 millones de dólares por mes”.