Entidades afiliadas de DarkSide Ransomware rastreadas por investigadores de seguridad
El reciente ciberataque a Colonial Pipeline causó una gran conmoción en los Estados Unidos y provocó la participación del FBI, entre otros servicios estatales y empresas de ciberseguridad. A raíz del incidente, con Colonial y el equipo de seguridad subidos a bordo por el proveedor de combustible aún luchando para restablecer las operaciones del oleoducto y dejar que el combustible fluya hacia la costa este nuevamente, otros expertos en seguridad han estado examinando DarkSide y sus entidades afiliadas de malos actores.
DarkSide es un actor de amenazas que generalmente se muestra noble e incluso dona parte del dinero del rescate cibernético que recibe a organizaciones benéficas. A pesar de la capa de Robin Hood que DarkSide quiere usar, los objetivos del grupo son todo menos nobles. DarkSide funciona con un método común en el sombrío mundo del malware, llamado "ransomware como servicio" o RaaS para abreviar. Bajo este modelo, la entidad de nivel superior, en este caso DarkSide, otorga licencias de su kit de herramientas de ransomware a terceros.
De esta manera, varios actores maliciosos pueden hacer el trabajo pesado de distribuir el ransomware y descubrir los puntos de infiltración y los vectores de ataque. Una vez que la víctima ha sido infectada, si decide pagar, los terceros que llevaron a cabo el ataque dividen el dinero del rescate con DarkSide.
Siguiendo prácticas comerciales legítimas y comunes, parece que DarkSide también toma una parte cada vez más pequeña cuanto mayor es el pago del rescate. ZDNet cita un recorte del 25% en los bolsillos de DarkSide con trabajos de afiliados más pequeños. La porción que reciben los autores de ransomware se reduce a solo un 10% en caso de que el pago del rescate supere los $ 5 millones.
Según los expertos en seguridad de FireEye, DarkSide incluso lleva a cabo entrevistas de reclutamiento antes de aceptar aceptar a un pirata informático en ciernes como licenciatario. Si la entrevista es un éxito, el aspirante a delincuente cibernético tiene acceso a su panel de control personal que puede usar para personalizar su carga útil específica y administrar su víctima y la información de pago, así como comunicarse con DarkSide para obtener ayuda con el uso del ransomware.
FireEye ha identificado cinco entidades separadas o grupos de malos actores que parecen estar vinculados con DarkSide y muy probablemente sean licenciatarios de ransomware. Tres de los grupos fueron examinados con más detalle y se les dio los nombres en clave de UNC2628, UNC2659 y UNC2465, respectivamente.
La primera actividad de uno de los grupos se remonta a abril del año pasado. Cada grupo utiliza enfoques ligeramente diferentes en lo que respecta a la infiltración y los exploits y vulnerabilidades utilizados para obtener acceso a las redes comprometidas.
UNC2628 es conocido por abusar de las credenciales de VPN robadas para obtener acceso y, por lo general, pasa muy poco tiempo investigando la red antes de pasar al cifrado.
UNC2659 abusó de una vulnerabilidad actualmente parcheada en un servicio VPN utilizado por trabajadores remotos. Este grupo también parece robar archivos antes de implementar el ransomware, lo que probablemente podría amenazar aún más con la filtración de datos en línea si no se cumplen sus demandas.
UNC2465 utiliza phishing y una puerta trasera llamada Smokedham. A diferencia de los otros dos grupos, FireEye tiene datos de que este grupo en particular obtuvo acceso a una red comprometida varios meses antes de iniciar el cifrado y desplegar el ransomware real.
El consenso general entre los investigadores es que los grupos que operan las variedades de ransomware en constante evolución solo continuarán mejorando y evolucionando sus métodos y herramientas.
