Estamos testemunhando a ascensão do ransomware como serviço?


Ao longo deste ano, DarkSide, um grupo de hackers russos chamou a atenção do Departamento de Estado dos EUA.

Em maio de 2021, DarkSide foi responsável por um ataque de ransomware na Colonial Pipeline, extorquindo US $ 5 milhões por não vazar dados que eles tinham na rede do Pipeline. Este é considerado um dos maiores ataques de ransomware à infraestrutura dos Estados Unidos até hoje.

O que sabemos sobre o DarkSide é que eles:

  • Operar como Ransomware como um serviço (Raas)
  • Obtenha seu resgate em Bitcoin
  • O Departamento de Estado dos EUA emitiu um prêmio de US $ 10 milhões por informações que levariam a encontrar os líderes do grupo.

O que torna o serviço Raas preocupante? O uso de Bitcoin levará à queda do DarkSide?

Como o Departamento de Estado dos EUA se envolveu neste caso?

Vamos descobrir.

O que torna o ransomware um serviço especialmente perigoso?

Ransomware como serviço (Raas) é uma espécie de ransomware ataques que fornecem às pessoas comuns ferramentas para conduzir ataques cibernéticos.

Semelhante a outros tipos de ransomware, o perpetrador usa malware para obter acesso à rede da vítima. Depois de conceder acesso a dados confidenciais – eles exigem resgate.

O Raas funciona como um software apelidado de afiliado – o que significa que os usuários podem comprá-lo em fóruns clandestinos e usá-lo para criar ataques de ransomware.

O que torna isso perigoso?

Você não precisa ser um hacker para extorquir empresas com Raas. Qualquer pessoa, mesmo pessoas com pouca ou nenhuma habilidade, pode comprar um afiliado e atacar alguém com um ransomware.

O ataque do Pipeline foi o resultado de um ataque de ransomware como serviço. Alguém comprou o afiliado e o usou para atacar o Pipeline.

Isso pode ser um sinal de que DarkSide está perdendo o controle sobre seus serviços. Ou que estão sendo culpados pelo ataque pelo qual não são responsáveis. Ou seja, eles afirmam que não são políticos e seus ataques de ransomware são exclusivamente para fins monetários. No passado, DarkSide reivindicado que eles não visam governos, hospitais e organizações sem fins lucrativos.

Por que o grupo DarkSide quer Bitcoin para ransomware?

O grupo DarkSide comercializa seus serviços exclusivamente por Bitcoin. Com o passar dos anos, o Bitcoin se tornou a moeda padrão para atividades ilegais.

Muitas pessoas associam a popularidade de criptomoedas, como o Bitcoin, ao pagamento por atividades ilícitas da dark web. É considerada uma forma de pagamento anônima e indetectável.

Na realidade, as transações de Bitcoin são transparentes. De acordo com o site oficial do Bitcoin:

“Todas as transações Bitcoin são públicas, rastreáveis ​​e armazenadas permanentemente na rede Bitcoin.”

Isso já permitiu o FBI apreenderá $ 2,3 milhões em criptomoeda de volta do DarkGroup em junho de 2021.

Estima-se que DarkSide já recebeu $ 90 milhões em Bitcoin de suas várias vítimas (incluindo o Pipeline).

Por que a recompensa emitida pelo Departamento de Estado dos EUA é tão alta?

Em novembro de 2021, o Departamento de Estado dos EUA declarou que oferecer $ 10 milhões para obter informações que poderia identificar os líderes DarkSide.

Para o FBI, a informação é uma moeda mais valiosa do que o Bitcoin, mas eles reservam recompensas pesadas apenas para os casos principais. O grupo DarkSide fez parte de vários casos de ransomware de alto perfil que ocorreram este ano, mas o FBI não se envolveu até o ataque ao Pipeline. Este ataque de ransomware chamou a atenção do Departamento de Estado dos EUA porque tinha como alvo uma das infraestruturas de energia críticas nos EUA

Se eles não tivessem atacado o gasoduto, é provável que o governo não estivesse tão focado em suas atividades. No entanto, o grupo DarkSide é formado por cibercriminosos russos que visam seus rivais – principalmente empresas ricas dos EUA. Além do Pipeline, eles também visavam a Brenntag (uma empresa alemã de distribuição de produtos químicos) e a Toshiba Tec. Corp.

A Rússia não interfere em suas atividades porque o DarkSide não tem como alvo as empresas russas para evitar a aplicação da lei russa.

Se os EUA não usarem seus recursos para levá-los à justiça, é possível que ninguém mais o faça.

Raas democratiza ataques cibernéticos

Os ataques de ransomware são perigosos e trazem danos duradouros aos seus alvos – tanto a sua reputação quanto a suas finanças. É por isso que as vítimas geralmente pegam suas carteiras de Bitcoin e pagam o resgate exigido.

Obedecer aos termos do hacker é uma faca de dois gumes. Os alvos podem recuperar o acesso aos seus dados e varrer o incidente para debaixo do tapete. Ao pagar o resgate, eles também capacitam financeiramente grupos ou criminosos e fornecem recursos para atacar outras empresas e organizações.

Os ataques Raas que caem nas mãos erradas (se é que podemos afirmar que existem pessoas certas para serem criminosos) são especialmente perigosos porque democratizam os ataques cibernéticos – dando a qualquer pessoa os meios para exigir resgate.

O grande envolvimento do Departamento de Estado dos EUA neste caso e a rastreabilidade das transações de Bitcoin provavelmente encerrarão a atividade do DarkSide e enviará uma mensagem a organizações semelhantes que operam usando o Raas. Mas, novamente, só o tempo dirá.

Image: Pixabay
Minha Sacola
Sacola