La semana pasada el FBI confirmó que el malware DarkSide fue el responsable del ataque hacia el oleoducto «Colonial». Los operadores del oleoducto han detenido todos los sistemas que comprenden unas 5.500 millas de tuberías.
Conociendo el malware
El malware DarkSide hizo su primera aparación en los foros rusos de hacking en agosto de 2020. Se trata de una plataforma completa de RaaS (Ransomware As A Service), dónde los ciberdelincuentes centralizan desde los lanzamientos de ataques, estados de la organización, negociaciones, pagos…
Los creadores de esta plataforma tenían claro desde un principio a que organizaciones dirigir los ataques, esto se puede ver claramente porque no es posible lanzar ataques sobre ciertas industrias, como las de atención médica, servicios funerarios, educación, sector público y las organizaciones sin ánimo de lucro.
Darkside ha demostrado ser bastante despiadado con las empresas que llegan a caer y que tienen una gran cantidad de dinero, pero todo en esta vida es negociable. La firma Intel 471 observó una negociación entre el equipo de Darkside y una compañía de EE.UU.
La primera toma de contacto entre DarkSide y la víctima implicó el habitual intercambio de confianza, esto es habitual en este tipo de situaciones. La víctima pide garantías de que los datos robados se eliminarán después del pago.
Cuando la víctima se ofreció a pagar solo 2,25 millones de dólares, DarkSide respondió con una respuesta en tono algo burlón, y finalmente acordó reducir la cuantía del rescate a 28,7 millones de dólares.
“El temporizador está corriendo y en las próximas 8 horas su precio subirá a $ 60 millones”, esa fue la respuesta de los ciberdelincuentes. «Entonces, estas son sus opciones, primero tome nuestra generosa oferta y pague 28,750 millones de dólares estadounidenses o invierta algo de dinero en computación cuántica para acelerar un proceso de descifrado».
La víctima se queja de que las negociaciones no han movido mucho el precio, pero DarkSide responde que la empresa puede pagar fácilmente el pago. «No lo creo», escribieron. «No eres pobre y no eres un niño si lo arruinaste tienes que afrontar las consecuencias».
Por la firma del mensaje, podemos observar que la víctima responde un día después diciendo que han obtenido la autorización para pagar $ 4.75 millones, y sus ciberdelincuentes acuerdan reducir la demanda significativamente a $ 12 millones.
La empresa víctima acepta pagar un rescate de $ 11 millones, y sus extorsionadores están de acuerdo y prometen no atacar ni ayudar a nadie más a atacar la red de la empresa en el futuro.