La soga parecía estrecharse el viernes en torno a los piratas informáticos de DarkSide que están detrás del ciberataque al operador de oleoductos estadounidense Colonial Pipeline: los expertos dicen que sus servidores quedaron fuera de servicio y sus mensajes incluso borrados por una gran comunidad de ciberdelincuentes rusos.
La firma de ciberseguridad Recorded Future dijo que el pirata informático que exigió un rescate a Colonial Pipeline admitió que su grupo DarkSide había perdido acceso a varios de los servidores utilizados para alojar su blog o para cobrar.
Accesible a través del navegador TOR en la darknet, la versión clandestina de internet, el sitio de DarkSide no podía verse el viernes por la mañana.
«Hace unas horas, perdimos el acceso a la parte pública de nuestra infraestructura, a saber: Blog. Servidor de pago. Servidores DoS», escribió Darksupp, citado por Recorded Future.
Los ataques de denegación de servicio (DoS) tienen como objetivo cerrar un sitio web sobrecargándolo con tráfico.
Darksupp también indicó que habían sido eliminados los fondos de criptomonedas, utilizados para pagar los rescates exigidos por el grupo de piratas informáticos.
Un analista de Recorded Future cree sin embargo que esto puede ser un subterfugio de DarkSide para poder cerrar su propia infraestructura y así evitar a pagarle a sus asociados.
Kimberly Goody, jefe de análisis de delitos financieros de Mandiant, una subsidiaria del gigante estadounidense de ciberseguridad FireEye, dijo en un comunicado enviado a la AFP que su compañía «no pudo validar de forma independiente las afirmaciones» sobre el desmantelamiento de DarkSide.
«Algunas especulaciones de otros actores indican que podría ser una estafa de salida («exit scam»)», agrega, en referencia a un esquema destinado a hacer creer en un cierre para quedarse con la mayor parte del botín.
DarkSide eliminado de foro ruso
No hubo evidencia de quién pudo haber forzado la desconexión del sitio web de DarkSide, pero la cuenta de Twitter de 780th Military Intelligence Brigade, una brigada de operaciones ofensivas del ciberespacio del Ejército estadounidense, retuiteó el viernes el informe de Recorded Future.
DarkSide surgió públicamente por primera vez en agosto de 2020 y se especializa en lo que se conoce como «ransomware»: programas que se infiltran en la red informática de una víctima y encriptan datos en sus máquinas, bloqueando así las operaciones. Luego, los delincuentes exigen el pago de un rescate para liberar los datos.
La policía federal estadounidense, FBI, identificó el lunes a DarkSide como el grupo detrás del «ransomware» contra Colonial Pipeline la semana pasada, que forzó el cierre de la operativa de la empresa.
El mismo lunes, el presidente estadounidense Joe Biden acusó a piratas informáticos «con sede en Rusia» de llevar a cabo el ciberataque, sin afirmar que el gobierno ruso estuviera directamente involucrado.
Biden dijo el jueves que estaba «en comunicación directa con Moscú sobre la necesidad de que los países responsables tomen medidas decisivas contra estas redes de ‘ransomware’».
Recibido en audiencia por un grupo parlamentario este viernes, el general Paul M. Nakasone, director del comando conjunto a cargo de la ciberseguridad (USCYBERCOM) y la Agencia de Seguridad Nacional (NSA) de Estados Unidos, aseguró que su función era «presentar una serie de oportunidades operativas o de planes de acción a la consideración del secretario de Estado o el presidente».
Por otra parte, todas las publicaciones de Darkside en el foro de ciberpiratas XSS, de habla rusa, se han eliminado, según investigadores de la plataforma de protección de riesgos digitales Dark Shadows.
En cambio, los anuncios de reclutamiento de DarkSide en otra popular plataforma de piratas informáticos en ruso, Exploit, aún estaban activos, aunque no se han actualizado desde abril y no refieren al ataque contra Colonial Pipeline.
De acuerdo con información de Bloomberg y otros medios estadounidenses, Colonial Pipeline habría pagado 5 millones de dólares a los piratas informáticos.
Consultado por AFP, un vocero de Colonial Pipeline no hizo comentarios y solo indicó que hay una investigación en curso.
La administración Biden también se abstuvo de comentar y enfatizó que las empresas deberían fortalecer su seguridad informática.
Según el sitio Elliptic, que rastrea el uso criminal de criptoactivos, la billetera bitcoin de DarkSide recibió 75 BTC (aproximadamente 4,4 millones de dólares) el 8 de mayo, el día después del ataque a Colonial Pipeline.
En total, el grupo ha recibido el equivalente a 17,5 millones de dólares desde principios de marzo, asegura Elliptic.
El ataque contra los sistemas informáticos de Colonial Pipeline, que transporta cerca del 45% del combustible desde el Golfo de México a la costa este de Estados Unidos, obligó al operador a clausurar el conjunto de sus operaciones.
Ello provocó reacciones de pánico de automovilistas que temían escasez de combustible y acudieron en masa a estaciones de servicio para abastecerse.
