The DarkSide Hacker Group: ¿quiénes son y qué han hecho?

Desde el nacimiento de internet, algunas los usuarios han buscado maneras de hacer un mal uso de ella. Como resultado, ahora tenemos muchos grupos de ciberdelincuentes que son muy hábiles para comprometer diferentes esquemas y extraer dinero de ellos. Algunos apuntan a individuos, mientras que otros van exclusivamente contra las grandes corporaciones, con la esperanza de obtener mayores recompensas.

Ocasionalmente, descubrimos estas entidades después de que hayan atacado con éxito. El lado oscuro grupo de hackers es un ejemplo perfecto; nuestro artículo repasará todo lo que necesita saber sobre ellos, cómo funcionaron y, en última instancia, derribó una de las compañías de oleoductos más grandes de Estados Unidos.

¿Quién era el grupo de piratería de DarkSide Ransomware?

DarkSide era un ciberdelincuente equipo que hizo olas en julio de 2020 cuando comenzó a dirigirse a empresas de todo el mundo. Como sabemos, el ransomware impide que los usuarios usen sus dispositivos o redes hasta que se pague la cantidad de dinero requerida a la entidad secuestradora.

Afirmaron ser un Robin Hood moderno. grupo que nunca atacaría la atención médica o las organizaciones sin fines de lucro, sino que se centraría en las grandes empresas. Ellos afirmaron que a menudo donado a la caridad como parte de su misión.

Aunque es muy probable que el Los piratas informáticos de DarkSide estaban ubicados principalmente en Rusia y algunos otros países de Europa del Este, DarkSide no parecía estar patrocinado por el estado. Los miembros procedían de diferentes partes del mundo, incluidos Rusia y los antiguos estados soviéticos, pero también de Irán, Corea del Norte, Siria y China.

este truco el grupo adoptó Ransomware-as-a-Service (RaaS) modelo, lo que significa que alquilaron su software a terceros. Las ganancias se dividieron entre socios, afiliados y titulares, y el grupo se quedó con alrededor del 25 % de las ganancias después de ataques exitosos.

El truco del oleoducto colonial

El ataque más importante se dio cuenta de que el grupo de ransomware DarkSide era contra la Colonial Pipeline Companyhttps://dataprot.net/articles/critical-infrastructure-cyber-attacks/que cerró sus operaciones durante cinco días en mayo de 2021. Eventualmente, la empresa pagó un rescate de casi 75 Bitcoins (unos 5 millones de dólares) para recuperar sus datos y reanudar el trabajo.

DarkSide se ha hecho cargo de los sistemas digitales del oleoducto, lo que afecta a las aerolíneas y a los consumidores de la costa este de EE. UU. Las autoridades intervinieron y el FBI incluso ofreció $ 10 millones en premios a cualquier persona que pueda proporcionar información de identificación sobre la ubicación o los miembros principales del grupo DarkSide.

Los malos actores lograron robar 100 GB de datos en unas pocas horas. DarkSide tomó el control de la red informática, deshabilitando varios sistemas, como contabilidad y facturación. El oleoducto ha detenido temporalmente sus operaciones para evitar que se propaguen los daños. Sin embargo, no pudieron detener el ataque y tuvieron que pagar el rescate.

Entonces, ¿cómo fue que una empresa tan grande fue víctima del ataque que le costó 5 millones de dólares? Lo crea o no, la razón por la que el ataque de ransomware de DarkSide tuvo éxito hackeó el oleoducto colonial fue uno de los empleados reutilizaron una contraseña VPN.

Según el oleoducto colonial Director ejecutivo, Joseph Blountdespués de que los atacantes obtuvieron la contraseña, pudieron iniciar sesión porque la autenticación multifactor no estaba habilitada, lo que significa que solo la contraseña fue suficiente para ingresar al sistema con éxito.

Los expertos en ciberseguridad criticaron a los funcionarios del oleoducto por esto grave fallo de seguridad. Después de todo, la mayoría de los usuarios de Internet usan múltiples capas de protección para sus cuentas (por ejemplo, un código SMS que necesitan para iniciar sesión, incluso con la contraseña correcta). En retrospectiva, este truco de DarkSide parece fácilmente evitable.

Blount fue más tarde interroga por senadores sobre la respuesta y el tiempo de la empresa, particularmente sobre el cierre del oleoducto, que llevó a compras de pánico y al aumento de los precios del gas. Blount dijo que el cierre temporal ocurrió porque temían que todo el sistema pudiera verse afectado y que el daño podría haber sido mayor.

Algunos senadores dijeron Oleoducto Colonial no consultó con el gobierno de EE.UU. sobre su decisión de pagar el rescate por el ciberataque DarkSide.

Blount dijo que entiende que la decisión del rescate depende de la empresa. Agregó que el la empresa no tenía una estrategia contra el ransomwarepero que se contactó al FBI en cuestión de horas y que la empresa había invertido más de $200 millones en sistemas informáticos de antemano.

Como se mencionó, se suponía que la pandilla criminal DarkSide estaba ubicada principalmente en Rusia y otros países de Europa del Este. Sin embargo, el presidente Biden dijo que había no hay evidencia de participación rusa en el hack.

Este truco casi de inmediato afectó a la industria aérea, ya que muchos transportistas no pudieron continuar con las operaciones. Además, hubo una ola de compras de pánico y un aumento en los precios de la gasolina.

Todo esto solo subrayó cuán mal preparado estaba el gobierno para tal ataque, a pesar de sus muchos supuestos ejercicios de preparación. Si bien los hackers de DarkSide confirmaron más tarde que el dinero era su única motivación, es decir, que no se trataba de una misión de espionaje o sabotaje militar, los sistemas de seguridad del país debieron resistir mejor.

A raíz de este ataque, el gobierno comenzó a trabajar en soluciones para mitigar y evitar que tales ataques vuelvan a ocurrir.

Un ejemplo fue la administración Biden orden ejecutiva 14028 para mejorar la ciberseguridad del país en mayo de 2021. La ventaja de este sistema fue mantener actualizados todos los componentes de seguridad, lo que permitió una respuesta más rápida ante nuevas amenazas. Los usuarios pueden realizar un análisis de vulnerabilidades con el comando adjunto Lista de materiales del software (SBOM) si quieren evaluar el nivel de riesgo de un producto en particular.

¿Quién era el objetivo de DarkSide?

DarkSide eligió a sus víctimas con base en sus estados financieros, y decidió cuánto dinero se necesitaba para el rescate basado en eso. Las cantidades oscilaron entre $ 200,000 a $ 2 millones. Desde su creación, DarkSide ha afectado a más de 90 empresas y ha robado más de 2 TB de datos.

Según los datos disponibles, este grupo apuntó principalmente a empresas de los sectores financiero y manufacturero y afirmó que evitaba atacar instituciones educativas, el sector público y organizaciones de salud.

EL NOSOTROS fue el país más atacado, seguido de Canadá, Bélgica y Francia. La organización de hackers DarkSide atacó por primera vez a los países de habla inglesa. EL Países de la Comunidad de Estados Independientes (CEI) se salvaron, razón por la cual algunos creen que los actores de DarkSide residen allí. Además, algunos de ellos no persiguen a los ciberatacantes siempre que sus objetivos sean extranjeros.

Cómo funcionaron los ataques DarkSide

DarkSide usó varios métodos para penetrar en las redes de sus víctimas, de forma similar a como operan otros grupos de ransomware. Generalmente, combinó credenciales robadas y piratería manual con diferentes herramientas de prueba de penetración, algunas de las cuales se han utilizado para el hack de gas DarkSide.

Antes de implementar el ransomware, el grupo identificó servidores críticos, privilegios elevados y copias de seguridad deshabilitadas y eliminadas. Cuando todo está hecho, se informa a la víctima que sus sistemas están inmovilizados y que tiene que pagar el rescate si quiere recuperar sus datos.

Los afiliados de DarkSide han utilizado técnicas similares. Compraron credenciales robadas, usaron fuerza bruta y ataques de diccionario e infectaron máquinas con malware de botnet para comprometerlas.

La pandilla DarkSide usó las versiones de Linux de Cifrado RSA-1024 y Salsa20. Si fuera Windows, el cifrado se habría roto, porque este sistema operativo está programado para verificar el idioma del sistema para los idiomas del antiguo bloque soviético.

Conclusión

Los grupos de piratería utilizan diferentes métodos para robar datos y extorsionar dinero. Su éxito generalmente depende de su habilidad y de la protección de los sistemas de la víctima. En el caso de DarkSide y Colonial Pipeline, fue una mezcla de los dos.

Aunque ya no se puede acceder al sitio web de DarkSide y el grupo ha anunciado que ya no está activo después de aumentar la presión del gobierno de EE. UU., no podemos saber con certeza si esto es cierto. Al igual que muchos grupos de ransomware similares, es posible que hayan anunciado un cierre solo para escapar de la atención del público y podrían estar planeando otro ataque a gran escala.

Incidentes como este muestran cuán altamente vulnerables pueden ser los sistemas críticos de grandes empresas y que se necesita más esfuerzo para proteger los datos confidenciales, protegiendo a las empresas y a las personas por igual.