El caso DarkSide: Rusia se está convirtiendo en el paraíso del cibersecuestro – Periódico Página100 – Noticias de popayán y el Cauca

El caso DarkSide: Rusia se está convirtiendo en el paraíso del cibersecuestro

Los ataques contra empresas y el robo de valiosa información digital es la base de la industria del software de secuestro que genera millones de dólares anuales. Expertos dicen que organizaciones radicadas en Rusia están detrás del auge de esas prácticas delictivas.

Apenas unas semanas antes de que DarkSide atacara Colonial Pipeline, interrumpiendo el suministro de combustible en el este de Estados Unidos, la banda de cibersecuestro estaba poniendo contra la pared a una empresa familiar productora de anuarios escolares.

MOSCÚ — Tan solo unas semanas antes de que la pandilla dedicada al cibersecuestro conocida como DarkSide atacara al propietario de un importante oleoducto en Estados Unidos, lo que afectó las entregas de gasolina y turbosina en el norte y sur de la costa este de Estados Unidos, el grupo ejercía presión sobre una pequeña casa editorial, que es un negocio familiar, con sede en el Medio Oeste.

Al trabajar con un hacker que usaba el nombre de Woris, DarkSide lanzó una serie de ataques destinados a cerrar los sitios web de la editorial, el cual trabaja principalmente con clientes que laboran en educación primaria, si se rehusaba a cumplir con el pago de un rescate de 1,75 millones de dólares. Incluso, amenazó con contactar a los clientes de la compañía para advertirles de manera engañosa que había obtenido información que la pandilla dijo que podía ser usada por pedófilos para hacer tarjetas de identificación falsas que les permitirían ingresar a escuelas.

Woris pensó que esa última estrategia era un detalle especial.

“Me reí muchísimo con lo de las identificaciones filtradas que posiblemente serían usadas por pedófilos para ingresar a la escuela”, dijo en ruso en un chat secreto con DarkSide obtenido por The New York Times. “No pensé que los asustaría tanto”.

El ataque de DarkSide contra la compañía propietaria del oleoducto, Colonial Pipeline (con sede en Georgia), no solo catapultó a la pandilla a la escena mundial. También puso en el centro de la opinión pública a una industria criminal de rápido crecimiento, ubicada principalmente en Rusia, que ha pasado de ser una especialidad que exigía habilidades de hackeo altamente sofisticadas a convertirse en un proceso parecido a una cinta transportadora. Ahora, incluso organizaciones criminales pequeñas y atacantes con habilidades computacionales mediocres pueden representar una potencial amenaza para la seguridad nacional.

Conductores haciendo fila frente a una gasolinera de Costco en Carolina del Norte en medio del pánico que siguió al ataque de DarkSide a Colonial Pipeline.
Conductores haciendo fila frente a una gasolinera de Costco en Carolina del Norte en medio del pánico que siguió al ataque de DarkSide a Colonial Pipeline.Credit…Travis Long/The News & Observer, via Associated Press

Antes, los criminales tenían que usar juegos psicológicos para engañar a las personas con el fin de obligarlas a entregar sus contraseñas bancarias y tenían los conocimientos técnicos para extraer dinero de cuentas personales seguras; ahora, prácticamente cualquiera puede obtener un programa de secuestros y cargarlo a un sistema computacional comprometido mediante el uso de trucos aprendidos a través de tutoriales de YouTube o con ayuda de grupos como DarkSide.

“Ahora cualquier tarado puede ser un ciberdelincuente”, dijo Serguéi Pavlovich, quien solía dedicarse a los ataques informáticos y estuvo diez años en prisión en su natal Bielorrusia por cibercrímenes. “La exigencia intelectual para entrar se ha vuelto muy pequeña”.

Un vistazo a las comunicaciones secretas en los meses previos al ataque al oleoducto de Colonial Pipeline revela una operación criminal en crecimiento, a través de la cual obtienen millones de dólares en pagos de rescates cada mes.

DarkSide ofrece lo que es conocido como “programa de secuestro como un servicio”, en el que un desarrollador de software maligno cobra una cuota de usuario a los llamados afiliados como Woris, quienes tal vez no tengan las habilidades técnicas para crear en efecto un programa de secuestro, pero son capaces de infiltrarse en los sistemas computacionales de una víctima.

Los servicios de DarkSide incluyen proveer soporte técnico a los hackers, negociar con objetivos como la compañía editorial, procesar los pagos y desarrollar campañas de presión a la medida a través del chantaje y otros medios, tales como hackeos secundarios para hacer caer sitios web. Las cuotas de usuario de DarkSide operaban en una escala variable: el 25 por ciento por cualquier secuestro de menos de 500.000 dólares y hasta el 10 por ciento por secuestros de más de cinco millones, según la firma de seguridad informática FireEye.

Al operar como una empresa emergente, DarkSide, al parecer, tuvo que lidiar con dificultades iniciales. En un chat con alguien encargado de atender a los clientes del grupo, Woris se quejó de que la plataforma de programa de secuestro de la pandilla era difícil de usar, lo que le costó tiempo y dinero cuando trabajaba con DarkSide para extorsionar el efectivo de la compañía editorial estadounidense.

“Ni siquiera entiendo cómo operar mi negocio en tu plataforma”, se quejó en un intercambio de mensajes en algún momento de marzo. “Estamos gastando tanto tiempo cuando tenemos cosas que hacer. Entiendo que no les importe. Si nosotros no lo hacemos, otros les pagarán. Para ustedes es cantidad, no calidad”.

El Times obtuvo acceso al “tablero” interno que los clientes de DarkSide usaron para organizar y realizar ataques de secuestro. La información para iniciar sesión fue proporcionada al Times por un ciberdelincuente a través de un intermediario. El Times no revela el nombre de la compañía involucrada en el ataque para evitar represalias adicionales de parte de los hackers.

El acceso al tablero de DarkSide ofreció una extraordinaria mirada al funcionamiento interno de una pandilla que se comunica en ruso y se ha convertido en el rostro del cibercrimen global. En un contrastante blanco y negro, el tablero daba acceso a los usuarios a la lista de objetivos de DarkSide, así como a un cintillo que corre en la pantalla con las ganancias y una conexión con el personal de atención a clientes del grupo, con los que los afiliados podían crear estrategias para exprimir dinero de sus víctimas.

Una captura de pantalla de las reglas en el sitio web de DarkSide
Una captura de pantalla de las reglas en el sitio web de DarkSide

El tablero todavía operaba hasta el 20 de mayo, cuando un reportero del Times inició sesión, aunque DarkSide emitió un comunicado una semana antes en el que afirmó que lo cerraría. Un empleado de atención a clientes respondió casi de inmediato a una solicitud de chat enviada por un reportero del Times desde la cuenta de Woris. Sin embargo, cuando el reportero se identificó como un periodista, la cuenta fue bloqueada al instante.

Incluso antes del ataque a Colonial Pipeline, el negocio de DarkSide estaba en auge. Según la firma de ciberseguridad Elliptic, que ha estudiado las carteras de Bitcoin de DarkSide, la pandilla ha recibido alrededor de 15,5 millones de dólares en Bitcoin desde octubre de 2020 y otros 75 millones han sido para sus afiliados.

Las grandes ganancias para una pandilla criminal tan joven —DarkSide se fundó apenas en agosto pasado, de acuerdo con investigadores de seguridad informática— subraya cómo los cibercriminales clandestinos que operan en ruso se han multiplicado en los últimos años. Ese crecimiento ha sido impulsado por el ascenso de criptomonedas como Bitcoin que han hecho prácticamente obsoleta la necesidad del uso de mulas tradicionales de dinero, quienes en ocasiones tenían que contrabandear efectivo de manera física a través de las fronteras.

En solo un par de años, afirman expertos en ciberseguridad, el software de secuestro se ha convertido en un negocio organizado y altamente segmentado. Existen ciertos hackers que se infiltran en sistemas informáticos y otros cuya labor es asumir el control de ellos. Hay especialistas en soporte técnico y expertos en lavado de dinero. Muchas pandillas criminales incluso poseen voceros oficiales quienes se encargan de las redes sociales y del contacto.

De muchas maneras, la estructura organizacional de la industria rusa del cibersecuestro asemeja franquicias, como McDonald’s o Hertz, que reducen las barreras para entrar y permiten la fácil duplicación de prácticas y técnicas de negocio probadas. El acceso al tablero de DarkSide era todo lo que se necesitaba para establecerse como afiliado de DarkSide y, si se deseaba, descargar una versión funcional del programa de secuestro usado en el ataque contra Colonial Pipeline.

La industria del software de secuestro está creciendo de manera explosiva en Rusia, en parte porque las autoridades de ese país han dejado claro que rara vez perseguirán a personas por ciberdelitos cometidos fuera de Rusia.
La industria del software de secuestro está creciendo de manera explosiva en Rusia, en parte porque las autoridades de ese país han dejado claro que rara vez perseguirán a personas por ciberdelitos cometidos fuera de Rusia.Credit…Sergey Ponomarev para The New York Times

Aunque el Times no adquirió ese software, la compañía editorial ofreció una descripción de cómo fue ser la víctima de un ataque con el programa de secuestro de DarkSide.

Lo primero que la víctima ve en la pantalla es una carta de secuestro con instrucciones y amenazas amables.

“Bienvenidos a DarkSide” (un juego de palabras con el nombre de la compañía que en español significa “el lado oscuro”), dice la carta en inglés, antes de explicar que las computadoras y servidores de la víctima habían sido cifrados y todos los respaldos borrados.

Para eliminar el cifrado de la información, las víctimas son dirigidas a un sitio web en el que deben ingresar una clave especial. La carta deja en claro que pueden llamar a un equipo de soporte técnico si encuentran algún problema.

“!!! PELIGRO !!! NO MODIFIQUE o intente RECUPERAR ningún archivo por su cuenta”, dice la carta. “NO podremos RESTAURARLOS”.

El software de DarkSide no solo bloquea los sistemas informáticos de las víctimas, también roba datos propios, lo que permite a los afiliados exigir pago no solo por desbloquear los sistemas, sino también por abstenerse de dar a conocer de manera pública información sensible de la compañía.

En el registro de chat visto por el Times, un empleado de atención al cliente de DarkSide le presumió a Woris que había estado involucrado en más de 300 ataques de secuestro e intentó tranquilizarlo.

“Estamos tan interesados en los procedimientos como tú”, dijo el empleado.

Juntos elaboraron el plan para chantajear a la compañía editorial, un negocio familiar de casi un siglo de antigüedad con solo algunos cientos de empleados.

Además de apagar los sistemas informáticos de la empresa y emitir la amenaza de pedofilia, Woris y el soporte técnico de DarkSide redactaron una carta de chantaje para enviarla a los funcionarios de las escuelas y a los padres que eran clientes de la empresa.

“Estimado personal de la escuela y padre”, decía la carta, “no tengo nada personal contra usted, es solo un negocio”. (Un portavoz de la empresa dijo que DarkSide nunca se puso en contacto con ningún cliente, pero sí con varios empleados).

Además, usando un nuevo servicio que DarkSide introdujo en abril, planeaban cerrar los sitios web de la empresa con los llamados ataques DDOS, en los que los hackers sobrecargan la red de una empresa con pedidos falsos.

El presidente Biden dijo que no parecía que el Estado ruso estuviera implicado en el ataque a Colonial Pipeline, pero subrayó que el Kremlin tiene la responsabilidad de perseguir los ciberdelitos cometidos por grupos instalados dentro de sus fronteras.
El presidente Biden dijo que no parecía que el Estado ruso estuviera implicado en el ataque a Colonial Pipeline, pero subrayó que el Kremlin tiene la responsabilidad de perseguir los ciberdelitos cometidos por grupos instalados dentro de sus fronteras.Credit…Doug Mills/The New York Times

Las negociaciones del secuestro con DarkSide duraron 22 días y se realizaron a través de correo electrónico o en el blog de la pandilla con un hacker o hackers que solo masticaban el inglés, dijo el vocero de la compañía. Las negociaciones se interrumpieron en algún punto de marzo por la negativa de la compañía a pagar el rescate de 1,75 millones de dólares. DarkSide, al parecer, estaba furioso y amenazó con filtrar más noticias sobre el ataque con el programa de secuestro a los medios informativos.

“Ignorar es una estrategia muy mala para ustedes. No tienen mucho tiempo”, escribió DarkSide en un correo electrónico. “Después de dos días haremos pública su entrada de blog y enviaremos esta noticia a todos los medios masivos grandes. Todos verán su catastrófica fuga de datos”.

A pesar de todas las tácticas para obligar al pago, DarkSide no carecía por completo de una brújula moral. En una lista de reglas publicada en el tablero, el grupo dijo que cualquier ataque contra objetivos educacionales, médicos o gubernamentales estaba prohibido.

En sus comunicaciones, DarkSide intentaba ser cortés, y el grupo esperaba lo mismo de los hackers que utilizaban sus servicios. El grupo, después de todo, “atesora mucho nuestra reputación”, decía DarkSide en una comunicación interna.

“Ofender o ser grosero con los objetivos sin ninguna razón está prohibido”, dijo DarkSide. “Nuestro objetivo es ganar dinero mediante un diálogo normal y tranquilo”.

Otra regla importante adoptada por DarkSide, junto a la mayoría de los otros grupos cibercriminales rusohablantes, subraya una realidad sobre el cibercrimen de la actualidad. Cualquier persona que viva en la Comunidad de Estados Independientes, una colección de antiguas repúblicas soviéticas, está estrictamente fuera de los ataques.

Expertos en ciberseguridad afirman que la restricción de “No se trabaja en .ru”, una referencia al sufijo del dominio nacional, se ha vuelto la norma en la comunidad de hackeo rusohablante para evitar enredos con las fuerzas del orden rusas. Las autoridades rusas han dejado en claro que en raras ocasiones procesarán judicialmente a ciberdelincuentes por ataques con software de secuestro y otros crímenes fuera de Rusia.

Como resultado, Rusia se ha convertido en un centro global de los ataques con programas de secuestro, afirman expertos. La firma de ciberseguridad Recorded Future, con sede en las afueras de Boston, rastrea alrededor de 25 grupos dedicados al software de secuestro, de los cuales cerca de 15 —incluyendo a los cinco más grandes— se cree que están en Rusia o en cualquier parte de la antigua Unión Soviética, dijo un experto en inteligencia de amenazas de la firma Dmitry Smilyanets.

El propio Smilyanets es un antiguo hacker ruso que pasó cuatro años en custodia federal por ciberdelitos. Según él, Rusia se ha convertido en un “invernadero” para los ciberdelincuentes.

“En Rusia se creó una atmósfera en la que los ciberdelincuentes se sentían muy bien y podían prosperar”, dijo Smilyanets. “Cuando alguien se siente cómodo y confía en que no será detenido al día siguiente, empieza a actuar con más libertad y descaro”.

El presidente de Rusia, Vladimir Putin, ha dejado las reglas perfectamente claras. Cuando la periodista estadounidense Megyn Kelly lo presionó en una entrevista de 2018 sobre por qué Rusia no detenía a los hackers que se creía que habían interferido en las elecciones estadounidenses, le disparó que no había nada por lo que detenerlos.

“Si no violaron la ley rusa, no hay nada por lo que procesarlos en Rusia”, dijo Putin. “Deben darse cuenta de una vez por todas que la gente en Rusia vive según las leyes rusas, no según las estadounidenses”.

Cuando Megyn Kelly preguntó al presidente de Rusia, Vladimir Putin, por qué su país no detenía a los hackers que se cree que interfirieron en las elecciones estadounidenses, dijo que, según la legislación rusa, no había nada por lo que perseguirlos.
Cuando Megyn Kelly preguntó al presidente de Rusia, Vladimir Putin, por qué su país no detenía a los hackers que se cree que interfirieron en las elecciones estadounidenses, dijo que, según la legislación rusa, no había nada por lo que perseguirlos.Credit…Alexei Druzhinin/Agence France-Presse — Getty Images

Tras el ataque a Colonial, el presidente Joe Biden dijo que los funcionarios de inteligencia tenían pruebas de que los hackers eran de Rusia, pero que aún no habían encontrado ningún vínculo con el gobierno.

“Hasta ahora no hay pruebas, basadas en nuestra gente de inteligencia, de que Rusia está involucrada, aunque hay pruebas de que los actores, el software de secuestro, está en Rusia”, dijo, y agregó que las autoridades rusas “tienen alguna responsabilidad para hacer frente a esto”.

Este mes, el personal de soporte de DarkSide enfrentó dificultades para responder al cierre de partes del sistema, que el grupo atribuyó, sin evidencia, a la presión de Estados Unidos. En una publicación del 8 de mayo, el día después de que el ataque a Colonial Pipeline se volviera público, el personal de DarkSide parecía esperar algo de empatía de sus afiliados.

“Ahora existe la opción para dejar una propina para soporte bajo ‘pagos’”, dijo la publicación. “Es opcional, pero Soporte estaría feliz :)”.

Días después de que el FBI identificó públicamente a DarkSide como el responsable, Woris, quien todavía no extraía el pago de la compañía editorial, se puso en contacto con servicio al cliente, en apariencia preocupado.

“Hola, ¿cómo están?”, escribió. “Les dieron un buen golpe”.

Fue la última comunicación que Woris tuvo con DarkSide.

Días después, un mensaje apareció en el tablero y decía que el grupo no estaba cerrando exactamente, como había dicho que lo harían, sino vendiendo su infraestructura para que otros hackers pudieran continuar con el lucrativo negocio del software de secuestro.

“El precio es negociable”, escribió DarkSide. “Al lanzar completamente un programa de sociedad análoga, es posible obtener ganancias de cinco millones de dólares al mes”.

Oleg Matsnev colaboró con este reportaje.

Andrew E. Kramer es un reportero del buró en Moscú. Fue parte de un equipo que ganó el Premio Pulitzer en 2017 por cobertura internacional de una serie sobre la proyección encubierta del poder de Rusia. @AndrewKramerNYT

Michael Schwirtz es reportero de investigación de la sección Internacional. En el Times desde 2006, cubrió anteriormente los países de la antigua Unión Soviética desde Moscú y fue uno de los principales reporteros de un equipo que ganó el Premio Pulitzer 2020 por sus artículos sobre las operaciones de inteligencia rusas. @mschwirtz • Facebook

Anton Troianovski es el jefe de la oficina de The New York Times en Moscú. Previamente fue el jefe de la oficina de The Washington Post en Moscú y trabajó durante nueve años con The Wall Street Journal en Berlín y Nueva York. @antontroian

SOURCE : www.nytimes.com

BY:  Andrew E. KramerMichael Schwirtz y Anton Troianovski

ILLUSTRATION : Travis Dove para The New York Times

PAGINA 100 POPAYAN COLOMBIA

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Abrir chat
1
Accede al grupo de WhatsApp Noticias grupo1 👇

Accede al grupo de WhatsApp Noticias grupo2 👇
A %d blogueros les gusta esto: