Cómo funciona el Ransomware como Servicio

 19-05-2021
Patricio Contreras

 

   

 

Crédito foto: Kaur Kristjan en Unsplash

Crédito foto: Kaur Kristjan en Unsplash

 

El reciente ciberataque a Colonial Pipeline, el oleoducto más grande de Estados Unidos, fijó la atención del mundo hacia el grupo DarkSide. Más que un grupo delimitado de gente, se trata de una plataforma que ofrece el llamado Ransomware como Servicio (RaaS, por sus siglas en inglés) a través de suscripciones.

Diferente a otros modelos de negocios con software malicioso, en el RaaS, quien desarrolla las herramientas para el ransomware solo la distribuye y vende a terceros. En el caso particular de DarkSide, este concede las herramientas a afiliados selectos a cambio de una parte de lo obtenido en cada rescate.

Publicidad recopilada por la empresa de ciberseguridad McAfee detalla los requisitos para convertirse en afiliado de DarkSide. Estos se comprueban vía entrevista virtual e incluyen hablar ruso y tener "buen conocimiento" de tácticas de extorsión con ransomware. En caso de realizar un ataque exitoso, el grupo a su vez presta el blog DarkSide Leaks como plataforma para realizar la extorsión o publicar los datos.

A su vez, el uso del software malicioso de DarkSide debe cumplir ciertos requisitos; principalmente, no atacar operaciones médicas, educativas y del sector público. También están prohibidos los ataques hacia países perteneciente a la Comunidad de Estados Independientes y organizaciones sin fines de lucro.

Según un reporte de la firma londinense especializada en blockchain, Elliptic, este grupo de cibercriminales y sus afiliados intercambia dinero principalmente a través de Bitcoin. Gracias al análisis del libro de cuentas digital distribuido en la blockchain, pudo determinarse que las transacciones de los responsables del ataque a Colonial Pipeline ascendían a 90 millones de dólares antes del ataque.

Por otra parte, la mayor parte de este dinero fue removido de la cartera para el 9 de mayo, previo a los reportes de que esta había sido drenada, presuntamente por autoridades. Esto introduce la necesidad de lavar el dinero y el análisis de Elliptic reveló algunas de las tácticas usuales de los cibercriminales.

Afirma, el 18% de las criptomonedas acaba en un grupo reducido mercados de intercambio (o exchanges), como Coinbase. El más popular de estos es Hydra y opera en la dark web para clientes de Rusia y países aledaños; en el que se puede cambiar la criptomoneda por efectivo, tarjetas de prepago, tarjetas de débito o narcóticos.

De acuerdo con el sitio de investigación de inteligencia criminal digital DarkTracer, hasta 99 organizaciones fueron afectadas por DarkSide. Se calcula, a su vez, que un aproximado del 47% de estas pagó rescate, indicando que el rescate promedio osciló entre los 1.9 millones de dólares.

Si bien una parte de los supuestos principios de DarkSide fueron rotos durante el ataque al ducto de Colonial Pipeline, este grupo recibió el pago de rescate y presuntamente cerró a los pocos días. Estos alegaron su postura apolítica" y sus intenciones de "no provocar problemas sociales"; no obstante, el RaaS ofrece medios nuevos y accesibles para llevar a cabo ataques ransomware sin necesidad de programar un código.

DESCARGA LA NOTA  SÍGUENOS EN GOOGLE NEWS