Contenidos
Los criminales están interrumpiendo sus operaciones.
Los delincuentes asociados con el ataque de ransomware DarkSide responsable de paralizar las entregas de combustible y el alza de los precios del combustible en los EE. UU. Han revelado que sus “servidores han sido incautados” y el dinero transferido a una “cuenta desconocida”.
DarkSide Ransomware-as-a-Service detiene las operaciones
El ataque de ransomware DarkSide al Colonial Pipeline provocó una gran agitación en los Estados Unidos. El oleoducto transporta productos petrolíferos refinados aproximadamente a 5.500 millas por todo el país, transporta aproximadamente 3 millones de barriles de petróleo por día entre Texas y Nueva York y representa aproximadamente el 45% del suministro de combustible de la costa este.
El ataque de ransomware eliminó el oleoducto crítico, provocando escenas frenéticas cuando los ciudadanos se apresuraron a llenar todo tipo de contenedores con combustible en previsión de escasez, lo que obligó a los precios de la gasolina a bajar a $ 3 por galón, el más alto visto desde 2014.
Además, Colonial anunció que pagó al operador de ransomware un rescate de $ 5 millones para recibir una herramienta de descifrado, pero aún así tuvo que recurrir a la recuperación de datos “tradicional” ya que la compañía de ransomware no respondió lo suficientemente rápido. Si bien esto suena como un escenario en el que todos ganan para una empresa de ransomware, otras víctimas pueden negarse a pagar un rescate si creen que la empresa no brindará ayuda más adelante.
Ahora, en una serie de eventos, los operadores de ransomware como servicio han informado a sus afiliados que han perdido el control de una parte significativa de la propia red de ransomware, incluidos los servidores de pago, junto con los fondos que se han transferido a otros cuentas inaccesibles.
La publicación se publicó en un foro de delitos de Rusia, aunque las empresas de ciberseguridad que monitorean el caso, como Mandiant de FireEye, han levantado sospechas con respecto a los anuncios repentinos.
La publicación citó la presión de la policía y la presión de Estados Unidos para tomar esta decisión. @ Mandiant no ha validado de forma independiente estas afirmaciones y hay algunas especulaciones de otros actores de que esto podría ser una estafa de salida. (3/3)
– FireEye (@FireEye) 14 de mayo de 2021
El momento no solo es muy sospechoso, sino que encaja con otras operaciones de ransomware como servicio descritas anteriormente. Después de una puntuación positiva, el servicio se sale del mapa por un tiempo, resurgiendo en un momento posterior con un nuevo gol.
Sin embargo, el anuncio vino con una pequeña bonificación para otras víctimas del mismo ransomware. Antes de cerrar la tienda, el operador de ransomware proporcionará descifradores a cualquiera que aún no haya pagado un rescate, en sintonía con el mensaje anterior del operador de que solo están allí por dinero, no para causar interrupciones y daños a la propiedad.
Por noble que sea, el daño ya está hecho para muchas personas.
El ransomware como servicio mantiene ágil la actividad delictiva
El ransomware sigue siendo un flagelo, y las víctimas se enfrentan a la eterna batalla de pagar para descifrar y recuperar archivos, incluso sabiendo que esos fondos alimentan la actividad delictiva.
En este caso, Colonial creía que no había más remedio que pagar para recibir un descifrador, incluso si el proceso fallaba.
Muchas empresas quieren que se prohíban los pagos de ransomware, afirmando que el pago solo alienta a los delincuentes a realizar más ataques. Pero a medida que continúan los ataques y los gobiernos, las empresas y los servicios públicos sufren, los pagos de rescate seguramente deben hacerse caso por caso.
Leer siguiente
Sobre el Autor