DarkSide Ransomware Gang se retira este 2021

El programa de afiliados de ransomware DarkSide responsable de la interrupción de 6 días en Colonial Pipeline.

DarkSide esta semana que provocó escasez de combustible y picos de precios en todo el país está corriendo hacia las colinas.

La banda criminal anunció que cerraría sus operaciones después de que se incautaron sus servidores y alguien drenó la criptomoneda de una cuenta que el grupo usa para pagar a los afiliados.

“Se confiscaron servidores (sin nombre del país), el dinero de los anunciantes y fundadores se transfirió a una cuenta desconocida”, se lee en un mensaje de un foro de ciberdelincuencia publicado en el canal ruso OSINT Telegram.

DarkSide

“Hace unas horas, perdimos el acceso a la parte pública de nuestra infraestructura”, continúa el mensaje, explicando que la interrupción afectó a su blog para avergonzar a las víctimas, donde se publican datos robados de víctimas que se niegan a pagar un rescate.

“El soporte de alojamiento, aparte de la información ‘a solicitud de las agencias de aplicación de la ley’, no proporciona ninguna otra información”, dice el administrador de DarkSide.

“Además, unas horas después del retiro, los fondos del servidor de pagos (nuestro y de los clientes) se retiraron a una dirección desconocida”.

Los organizadores de DarkSide también dijeron que estaban lanzando herramientas de descifrado para todas las empresas que han sido rescatadas pero que aún no han pagado.

“Después de eso, podrá comunicarse con ellos donde quiera y de la forma que desee”, se lee en las instrucciones.

El mensaje de DarkSide incluye pasajes aparentemente escritos por un líder de la plataforma de ransomware como servicio REvil.

Esto es interesante porque los expertos en seguridad han postulado que muchos de los miembros principales de DarkSide están estrechamente vinculados a la pandilla REvil.

El representante de REvil dijo que su programa estaba introduciendo nuevas restricciones sobre los tipos de organizaciones que los afiliados podrían mantener para pedir rescate, y que de ahora en adelante estaría prohibido atacar a aquellos en el “sector social” (definido como instituciones de salud y educación) y organizaciones en el “Gov-sector” (estado) de cualquier país.

Los afiliados también deberán obtener la aprobación antes de infectar a las víctimas.

Las nuevas restricciones se produjeron cuando algunos foros rusos de delitos informáticos comenzaron a distanciarse por completo de las operaciones de ransomware.

El jueves, el administrador del popular foro ruso XSS anunció que la comunidad ya no permitiría discusiones sobre programas de ransomware para hacer dinero.

“Hay demasiada publicidad”, explicó el administrador de XSS.

“El ransomware ha acumulado una masa crítica de tonterías, tonterías, exageraciones y alboroto a su alrededor.

La palabra “ransomware” se ha equiparado con una serie de fenómenos desagradables, como tensiones geopolíticas, extorsión y hacks respaldados por el gobierno.

Esta palabra se ha vuelto peligrosa y tóxica”.

En una publicación de blog sobre el cierre de DarkSide, la firma de inteligencia cibernética Intel 471 dijo que cree que todas estas acciones pueden estar relacionadas directamente con la reacción relacionada con los ataques de ransomware de alto perfil cubiertos por los medios de comunicación esta semana.

“Sin embargo, se debe aplicar una fuerte advertencia a estos desarrollos: es probable que estos operadores de ransomware estén tratando de retirarse del centro de atención más que descubrir repentinamente el error de sus caminos”, informó Intel 471.

“Es muy probable que varios de los operadores operen en sus propios grupos cerrados, resurgiendo con nuevos nombres y variantes de ransomware actualizadas.

IT CONNECT LATAM

Información de valor para ejecutivos que toman decisiones de negocios

Además, los operadores tendrán que encontrar una nueva forma de “lavar” la criptomoneda que obtienen de los rescates.

Intel 471 tras los pasos de DarkSide

Intel 471 ha observado que BitMix, un popular servicio de mezcla de criptomonedas utilizado por Avaddon, DarkSide y REvil, supuestamente ha cesado sus operaciones.

Varios clientes aparentes del servicio informaron que no pudieron acceder a BitMix en la última semana “.

 

Por Marcelo Lozano – General Publisher IT Connect Latam

92 / 100