2021/05/14

Nos bastidores do ransomware DarkSide

O grupo DarkSide tem sido responsável por uma vaga de ataques ransomware que têm conseguido resgates de milhões, e é impressionante ver a escala e o seu modo de negócio.

O ransomware DarkSide foi responsável pelo recente caso do encerramento de um dos maiores pipelines na América do Norte e que lhe rendeu um resgate de 5 milhões de dólares, e também é conhecido outro caso de uma empresa alemã que pagou mais de 4 milhões de dólares. Dito isto, este é um grupo que faz questão de seguir uma série de regras, comprometendo-se a não atacar hospitais, empresas de vacinas COVID-19, serviços funerários, escolas e universidades, organizações sem fins lucrativos, ou entidades governamentais.O seu alvo, segundo eles, são empresas que podem pagar os resgates que são pedidos.
Como "incentivo" ao pagamento do resgate, o grupo ameaça com coisas como a revelação pública de todos os dados roubados, com notificação para os respectivos clientes e comunicação social; e a promessa de que nunca receberão o código para desbloquear os dados, mesmo que tentem renegociar posteriormente.

O que poderá passar despercebido à maioria das pessoas, é que este ransomware já não é só um "ransomware", mas sim um verdadeira plataforma de ataque que pode ser subscrito e contratado por inúmeros grupos. Depois de serem aceites, esses "afiliados" ficam com acesso a uma página de gestão online onde podem criar infinitas variantes do ransomware adaptadas para os ataques pretendidos, assim como fazer a gestão das comunicações com as vítimas, tratar da publicações de dados, gerir os resgates e as respectivas chaves de descodificação. É toda uma máquina montada em torno do "negócio do ransomware", que facilmente fica explicada quando se olha para os montantes envolvidos: só nos dois casos mencionados acima estamos a falar de quase 10 milhões de dólares de lucro, e este ransomware tem afectado dezenas e dezenas de empresas nos últimos meses, o que atira este negócio para valores acima dos 100 milhões de dólares.

É também interessante espreitar o processo de negociação, quando as vítimas tentam baixar o valor que é inicialmente pedido (e que normalmente é reduzido), com os "operadores" a terem um guião bem montado quanto às cedências que estão dispostos a fazer, mas inevitavelmente chegando ao ponto em que é dito "sabemos quanto é que a vossa empresa factura e sabemos que podem pagar este valor", por vezes referindo até que, só em custos de mão de obra a repor os backups, iria ficar mais caro do que o valor a pagar pelo resgate.

... Parece que só têm que trabalhar a nível de acelerar o processo de descodificação, pois no caso da Colonial Pipeline que pagou os 5 milhões de resgate, o processo de descodificação revelou-se tão lento que a empresa acabou por ter que fazer a reposição dos backups por ser mais rápido.


Actualização: Quer seja verdade ou manobra de diversão, o grupo DarkSide diz ter perdido o acesso aos seus servidores e que o dinheiro que tinha em carteira foi transferido para uma conta desconhecida.

2 comentários:

  1. Annnnnnnnd it's gone: https://krebsonsecurity.com/2021/05/darkside-ransomware-gang-quits-after-servers-bitcoin-stash-seized/

    ResponderEliminar
    Respostas
    1. Os ladrões tentam fazer passar a ideia de que foram enganados...?
      🤔

      Eliminar