Los atacantes del oleoducto de Colonial en EEUU habrían ganado hasta 74 millones de euros en rescates antes de cesar su actividad

DarkSide, el colectivo de ciberdelincuentes que atacó este mes a Colonial, la gestora de uno de los mayores oleoductos de Estados Unidos, ha cesado su actividad.

Ahora, una firma de análisis de blockchain llamada Elliptic ha tenido acceso al monedero de criptomonedas en la que los criminales percibían los cobros por sus ataques de ransomware. En un artículo que la firma ha publicado en su blog, detallan que la mafia habría cobrado 90 millones de dólares fruto de los rescates que exigían a sus víctimas. Cerca de 74 millones de euros.

Gracias a haber sido los primeros en acceder al criptomonedero que utilizaban los ciberdelincuentes, y a la información que rastrea un perfil de análisis del cibercrimen, Elliptic ha sido capaz de calcular el porcentaje de víctimas de DarkSide que ha cedido a sus chantajes.

Así, el 47% de las compañías que el ransomware de DarkSide infectó acabaron pagando el rescate. Según la inteligencia recabada por la cuenta en Twitter de DarkTracer, un total de 99 empresas fueron víctimas de este colectivo, que EEUU sitúa en Europa del Este. El pago medio de los rescates asciende a casi 2 millones de dólares.

El mayor oleoducto de EEUU paralizado o la red de aguas de una ciudad envenenada: por qué son tan críticos los ataques a industrias que usan dispositivos IoT, según un experto español

Varios medios de comunicación internacionales destacaron hace varios días que Colonial, la responsable del oleoducto hackeado, acabó pagando un rescate de cerca de 5 millones de dólares a DarkSide. Este colectivo de ciberdelincuentes ofrece ransomware como si se tratase de un proveedor informático. Es un fenómeno conocido como RaaS(Ransomware-as-a-Service). De esta manera, una persona o un grupo podía contratar ataques por encargo de los que proveía DarkSide.

Intel471, una firma de ciberseguridad, tuvo acceso a un comunicado de despedida en el que el colectivo anunciaba el cese de sus operaciones. En el texto los criminales reconocían haber perdido acceso a sus servidores y ser incapaces de recuperarlos, ya que solo recibían un mensaje de que se habían bloqueado por requerimiento de las autoridades.

En el texto, DarkSide anunciaba que enviaría herramientas para descifrar los archivos infectados por su ransomware a todas las empresas que todavía no hubiesen pagado sus rescates y que "debido a la presión de EEUU" cerraban su programa de afiliados: no aceptaban nuevos clientes.

El ataque a Colonial ha sido la perdición del colectivo de ciberdelincuentes, que incluso obligó a la Administración Biden a estrechar sus comunicaciones con el Kremlin a cuenta de aclarar si se trataba de un incidente ocasionado por un grupo patrocinado por el estado ruso. 

Los rescates de 'ransomware' provocaron en 2020 pérdidas de mínimo 125 millones de euros a firmas españolas, y ahora las administraciones están en la diana

El incidente paralizó las operaciones de la compañía durante días y cundió el pánico ante la posibilidad de que se produjese desabastecimiento en las zonas del país que dependen de esta instalación.