Semanas antes del ataque de la banda dedicada al cibersecuestro DarkSide atacara a oleoducto de Colonial Pipeline en Estados Unidos, la organización de Rusia presionaba a una pequeña casa editorial del Medio Oeste. Conjuntamente con un hacker, lanzaron ataques con el fin de cerrar las páginas web de la editorial si no pagana un rescate de 1,75 millones de dólares. También amenazó con contactar a los clientes de la compañía para advertirles de manera engañosa que había obtenido información que la pandilla dijo que podía ser usada por pedófilos para hacer tarjetas de identificación falsas que les permitirían ingresar a escuelas.
El Político
El hacker bromeó en un chat interno con DarkSide sobre esta última estrategia para extorsionar a la editorial, señala un reportaje realizado por Chicago Tribune. El ataque de DarkSide contra Colonial Pipeline no solo catapultó a la pandilla a la escena mundial. También puso en el centro de la opinión pública a una industria criminal de rápido crecimiento, ubicada principalmente en Rusia.
Esta industria ha pasado de ser una especialidad que exigía habilidades de hackeo altamente sofisticadas a convertirse en un proceso parecido a una cinta transportadora. Ahora, incluso organizaciones criminales pequeñas y atacantes con habilidades computacionales mediocres pueden representar una potencial amenaza para la seguridad nacional.
Antes, los criminales tenían que usar juegos psicológicos para engañar a las personas con el fin de obligarlas a entregar sus contraseñas bancarias; y tenían los conocimientos técnicos para extraer dinero de cuentas personales seguras. Ahora prácticamente cualquiera puede obtener un programa de secuestros y cargarlo a un sistema computacional comprometido mediante el uso de trucos aprendidos a través de tutoriales de YouTube o con ayuda de grupos como DarkSide.
Un vistazo a las comunicaciones secretas en los meses previos al ataque al oleoducto de Colonial Pipeline revela una operación criminal en crecimiento, a través de la cual obtienen millones de dólares en pagos de rescates cada mes.
La organización que opera desde Rusia
Chicago Tribune explica en su reportaje el entramado de este negocio. Según este trabajo, DarkSide ofrece lo que es conocido como “programa de secuestro como un servicio”. En él, un desarrollador de software maligno cobra una cuota de usuario a los llamados afiliados. Estos quizás no tengan las habilidades técnicas para crear en efecto un programa de secuestro, pero son capaces de infiltrarse en los sistemas computacionales de una víctima.
Los servicios de DarkSide incluyen proveer soporte técnico a los hackers y negociar con objetivos como la compañía editorial. También procesan los pagos y desarrollan campañas de presión a la medida a través del chantaje y otros medios; tales como hackeos secundarios para hacer caer sitios web.
Las cuotas de usuario de DarkSide operaban en una escala variable. El 25% por cualquier secuestro de menos de 500.000 dólares; y hasta el 10% por secuestros de más de cinco millones, según la firma de seguridad informática FireEye.
El tablero de DarkSide
El Times, citado por Chicago Tribune tuvo acceso al “tablero” interno que los clientes de DarkSide usaron para organizar y realizar ataques de secuestro. La información para iniciar sesión fue proporcionada al Times por un ciberdelincuente a través de un intermediario.
El acceso al tablero de DarkSide ofreció una mirada al funcionamiento interno de una pandilla que se comunica en ruso y se ha convertido en el rostro del cibercrimen global. En un contrastante blanco y negro, el tablero daba acceso a los usuarios a la lista de objetivos de DarkSide; así como a un cintillo que corre en la pantalla con las ganancias y una conexión con el personal de atención a clientes del grupo, con los que los afiliados podían crear estrategias para exprimir dinero de sus víctimas.
El tablero todavía operaba hasta el 20 de mayo, cuando un reportero del Times inició sesión, aunque DarkSide emitió un comunicado una semana antes en el que afirmó que lo cerraría. Incluso antes del ataque a Colonial Pipeline, el negocio de DarkSide estaba en auge. Según la firma de ciberseguridad Elliptic, la pandilla ha recibido alrededor de 15,5 millones de dólares en Bitcoin desde octubre de 2020; y otros 75 millones han sido para sus afiliados.
Las grandes ganancias para una pandilla criminal tan joven subraya cómo los cibercriminales clandestinos que operan en ruso se han multiplicado en los últimos años. Ese crecimiento ha sido impulsado por el ascenso de criptomonedas como Bitcoin que han hecho prácticamente obsoleta la necesidad del uso de mulas tradicionales de dinero; quienes en ocasiones tenían que contrabandear efectivo de manera física a través de las fronteras.
La industria del cibersecuestro de Rusia
En solo un par de años, afirman expertos en ciberseguridad, el software de secuestro se ha convertido en un negocio organizado y altamente segmentado. Existen ciertos hackers que se infiltran en sistemas informáticos y otros cuya labor es asumir el control de ellos. Hay especialistas en soporte técnico y expertos en lavado de dinero. Muchas pandillas criminales incluso poseen voceros oficiales quienes se encargan de las redes sociales y del contacto.
De muchas maneras, la estructura organizacional de la industria rusa del cibersecuestro asemeja franquicias, como McDonald’s o Hertz, que reducen las barreras para entrar y permiten la fácil duplicación de prácticas y técnicas de negocio probadas. El acceso al tablero de DarkSide era todo lo que se necesitaba para establecerse como afiliado de DarkSide y, si se deseaba, descargar una versión funcional del programa de secuestro usado en el ataque contra Colonial Pipeline.
