Conversaciones secretas muestran cómo una ciberpandilla se convirtió en una potencia del software de secuestro

Tan solo unas semanas antes de que la pandilla dedicada al cibersecuestro conocida como DarkSide atacara al propietario de un importante oleoducto en Estados Unidos, lo que afectó las entregas de gasolina y turbosina en el norte y sur de la costa este de Estados Unidos, el grupo ejercía presión sobre una pequeña casa editorial, que es un negocio familiar, con sede en el Medio Oeste.

Al trabajar con un hacker que usaba el nombre de Woris, DarkSide lanzó una serie de ataques destinados a tirar los sitios web del editor, el cual trabaja principalmente con clientes que laboran en educación primaria, si se rehusaba a cumplir con el pago de un rescate de 1.75 millones de dólares. Incluso, amenazó con contactar a los clientes de la compañía para advertirles de manera engañosa que había obtenido información que la pandilla dijo que podía ser usada por pedófilos para hacer tarjetas de identificación falsas que les permitirían ingresar a escuelas.

Woris pensó que esa última estrategia le daba un buen toque.

“Me reí muchísimo sobre las identificaciones filtradas que posiblemente serían usadas por pedófilos para ingresar a la escuela”, dijo en ruso en un chat secreto con DarkSide obtenido por The New York Times. “No pensé que los asustaría tanto”.

El ataque de DarkSide contra la compañía propietaria del oleoducto, Colonial Pipeline (con sede en Georgia), no solo catapultó a la pandilla a la escena mundial. También puso un reflector sobre una industria criminal de rápido crecimiento ubicada principalmente en Rusia que se ha transformado de una especialidad que exigía habilidades de hackeo altamente sofisticadas en un proceso parecido a una cinta transportadora. Ahora, incluso organizaciones criminales pequeñas y hackers con habilidades mediocres con la computadora pueden representar una potencial amenaza a la seguridad nacional.

Antes, los criminales tenían que usar juegos psicológicos para engañar a las personas con el fin de obligarlas a entregar sus contraseñas bancarias y tenían los conocimientos técnicos para extraer dinero de cuentas personales seguras; ahora, prácticamente cualquiera puede obtener un programa de secuestros y cargarlo a un sistema computacional comprometido mediante la utilización de trucos aprendidos a través de tutoriaes de YouTube o con ayuda de grupos como DarkSide.

“Cualquier tarado ahora puede ser un ciberdelincuente”, dijo Serguéi Pavlovich, un exciberdelincuente quien estuvo diez años en prisión en su natal Bielorrusia por cibercrímenes. “La barrera intelectual para entrar se ha vuelto muy pequeña”.

Un vistazo a las comunicaciones secretas en los meses previos al ataque al oleoducto de Colonial Pipeline revela una operación criminal en crecimiento, a través de la cual obtienen millones de dólares en pagos de rescates cada mes.

DarkSide ofrece lo que es conocido como “programa de secuestro como un servicio”, en el que un desarrollador de software maligno cobra una cuota de usuario a los llamados afiliados como Woris, quienes tal vez no tengan las habilidades técnicas para crear en efecto un programa de secuestro, pero son capaces de infiltrarse en los sistemas computacionales de una víctima.

Los servicios de DarkSide incluyen proveer soporte técnico a los hackers, negociar con objetivos como la compañía editorial, procesar los pagos y desarrollar campañas de presión a la medida a través del chantaje y otros medios, tales como hackeos secundarios para hacer caer sitios web. Las cuotas de usuario de DarkSide operaban en una escala variable: el 25 por ciento por cualquier secuestro de menos de 500.000 dólares y hasta el 10 por ciento por secuestros de más de 5 millones, según la firma de seguridad informática FireEye.

Al operar como una empresa emergente, DarkSide, al parecer, tuvo que lidiar con el dolor de crecer. En el chat con alguien de atención a clientes del grupo, Woris se quejó de que la plataforma de programa de secuestro de la pandilla era difícil de usar, lo que le costó tiempo y dinero cuando trabajaba con DarkSide para extorsionar el efectivo de la compañía editorial estadounidense.

“Ni siquiera entiendo cómo operar mi negocio en tu plataforma”, se quejó en un intercambio de mensajes en algún momento de marzo. “Estamos gastando tanto tiempo cuando tenemos cosas que hacer. Entiendo que no les importe. Si nosotros no lo hacemos, otros les pagarán. Para ustedes es cantidad, no calidad”.

El Times obtuvo acceso al “tablero” interno que los clientes de DarkSide usaron para organizar y llevar a cabo ataques de secuestro. La información para iniciar sesión fue proporcionada al Times por un ciberdelincuente a través de un intermediario. El Times no revela el nombre de la compañía involucrada en el ataque para evitar represalias adicionales de parte de los hackers.

El acceso al tablero de DarkSide ofreció una extraordinaria mirada al funcionamieno interno de una pandilla rusohablante que se ha convertido en el rostro del cibercrimen global. En un contrastante blanco y negro, el tablero daba acceso a los usuarios a la lista de objetivos de DarkSide, así como a un cintillo que corre en la pantalla con las ganancias y una conexión con el personal de atención a clientes del grupo, con los que los afiliados podían crear estrategias para exprimir dinero de sus víctimas.

El tablero todavía operaba hasta el 20 de mayo, cuando un reportero del Times inició sesión, aunque DarkSide emitió un comunicado una semana antes en el que afirmó que lo cerraría. Un empleado de atención a clientes respondió casi de inmediato a una solicitud de chat enviada por un reportero del Times desde la cuenta de Woris. Sin embargo, cuando el reportero se identificó como un periodista, la cuenta fue bloqueada al instante.

Incluso antes del ataque a Colonial Pipeline, el negocio de DarkSide estaba en auge. Según la firma de ciberseguridad Elliptic, que ha estudiado las carteras de Bitcoin de DarkSide, la pandilla ha recibido alrededor de 15,5 millones de dólares en Bitcoin desde octubre de 2020 y otros 75 millones han sido para sus afiliados.

Las grandes ganancias para una pandilla criminal tan joven (DarkSide se fundó apenas en agosto pasado, de acuerdo con investigadores de seguridad informática) subraya cómo los cibercriminales “underground” en idioma ruso han crecido en los últimos años. Ese crecimiento ha sido impulsado por el ascenso de criptomonedas como Bitcoin que han hecho prácticamente obsoleta la necesidad del uso de mulas tradicionales de dinero, quienes en ocasiones tenían que contrabandear efectivo de manera física a través de las fronteras.

En solo un par de años, afirman expertos en ciberseguridad, el software de secuestro se ha desarrollado en un negocio organizado y altamente segmentado. Existen ciertos hackers que se infiltran en sistemas informáticos y otros cuya labor es asumir el control de ellos. Hay especialistas en soporte técnico y expertos en lavado de dinero. Muchas pandillas criminales incluso poseen voceros oficiales quienes se encargan de las redes sociales y del contacto.

De muchas maneras, la estructura organizacional de la industria rusa del cibersecuestro asemeja franquicias, como McDonald’s o Hertz, que reducen las barreras para entrar y permiten la fácil duplicación de prácticas y técnicas de negocio probadas. El acceso al tablero de DarkSide era todo lo que se necesitaba para establecerse como afiliado de DarkSide y, si se deseaba, descargar una versión funcional del programa de secuestro usado en el ataque contra Colonial Pipeline.

Aunque el Times no adquirió ese software, la compañía editorial ofreció una descripción de cómo fue ser la víctima de un ataque con el programa de secuestro de DarkSide.

Lo primero que la víctima ve en la pantalla es una carta de secuestro con instrucciones y amenazas amables.

“Bienvenidos a DarkSide” (un juego de palabras con el nombre de la compañía que en español significa “el lado oscuro”), dice la carta en inglés, antes de explicar que las computadoras y servidores de la víctima habían sido cifrados y todos los respaldos borrados.

Para eliminar el cifrado de la información, las víctimas son dirigidas a un sitio web en el que deben ingresar una clave especial. La carta deja en claro que pueden llamar a un equipo de soporte técnico si encuentran algún problema.

“!!! PELIGRO !!! NO MODIFIQUE o intente RECUPERAR ningún archivo por su cuenta”, dice la carta. “NO podremos RESTAURARLOS”.

El software de DarkSide no solo bloquea los sistemas informáticos de las víctimas, también roba datos propios, lo que permite a los afiliados exigir pago no solo por desbloquear los sistemas, sino también por abstenerse de dar a conocer de manera pública información sensible de la compañía.

En el registro de chat visto por el Times, un empleado de atención al cliente de DarkSide le presumió a Woris que había estado involucrado en más de 300 ataques de secuestro e intentó tranquilizarlo.

“Estamos tan interesados en los procedimientos como tú”, dijo el empleado.

Juntos elaboraron el plan para exprimir a la compañía editorial, un negocio familiar de casi un siglo de antigüedad con solo algunos cientos de empleados.

Las negociaciones del secuestro con DarkSide duraron veintidós días y se realizaron a través de correo electrónico o en el blog de la pandilla con un hacker o hackers que solo masticaban el inglés, dijo el vocero de la compañía. Las negociaciones se interrumpieron en algún punto de marzo por la negativa de la compañía a pagar el rescate de 1,75 millones de dólares. DarkSide, al parecer, estaba furioso y amenazó con filtrar más noticias sobre el ataque con el programa de secuestro a los medios informativos.

“Ignorar es una estrategia muy mala para ustedes. No tienen mucho tiempo”, escribió DarkSide en un correo electrónico. “Después de dos días haremos pública su entrada de blog y enviaremos esta noticia a todos los medios masivos grandes. Todos verán su catastrófica fuga de datos”.

A pesar de todas las tácticas para obligar al pago, DarkSide no carecía por completo de una brújula moral. En una lista de reglas publicada en el tablero, el grupo dijo que cualquier ataque contra objetivos educacionales, médicos o gubernamentales estaba prohibido.

Otra regla importante adoptaba por DarkSide, junto a la mayoría de los otros grupos cibercriminales rusohablantes, subraya una realidad sobre el cibercrimen de la actualidad. Cualquier persona que viva en la Comunidad de Estados Independientes, una colección de antiguas repúblicas soviéticas, está estrictamente fuera de los ataques.

Expertos en ciberseguridad afirman que la restricción de “No se trabaja en .ru”, una referencia al sufijo del dominio nacional, se ha vuelto la norma en la comunidad de hackeo rusohablante para evitar enredos con las fuerzas del orden rusas. Las autoridades rusas han dejado en claro que en raras ocasiones procesarán judicialmente a ciberdelincuentes por ataques con software de secuestro y otros crímenes fuera de Rusia.

Como resultado, Rusia se ha convertido en un centro global de los ataques con programas de secuestro, afirman expertos. La firma de ciberseguridad Recorded Future, con sede en las afueras de Boston, rastrea alrededor de veinticinco grupos dedicados al software de secuestro, de los cuales cerca de quince (incluyendo a los cinco más grandes) se cree que están en Rusia o en cualquier parte de la antigua Unión Soviética, dijo un experto en inteligencia de amenazas de la firma Dmitry Smilyanets.

Este mes, el personal de soporte de DarkSide enfrentó dificultades para responder al cierre de partes del sistema, que el grupo atribuyó, sin evidencia, a la presión de Estados Unidos. En una publicación del 8 de mayo, el día después de que el ataque a Colonial Pipeline se volviera público, el personal de DarkSide parecía esperar algo de empatía de sus afiliados.

“Ahora existe la opción para dejar una propina para soporte bajo ‘pagos’”, dijo la publicación. “Es opcional, pero Soporte estaría feliz :)”.

Días después de que el FBI identificó públicamente a DarkSide como el responsable, Woris, quien todavía no extraía el pago de la compañía editorial, se puso en contacto con servicio al cliente, en apariencia preocupado.

“Hola, ¿cómo están?”, escribió. “Les dieron un buen golpe”.

Fue la última comunicación que Woris tuvo con DarkSide.

Días después, un mensaje apareció en el tablero y decía que el grupo no estaba cerrando exactamente, como había dicho que lo harían, sino vendiendo su infraestructura para que otros hackers pudieran continuar con el lucrativo negocio del software de secuestro.

“El precio es negociable”, escribió DarkSide. “Al lanzar completamente un programa de sociedad análoga, es posible obtener ganancias por 5 millones de dólares al mes”.

c.2021 The New York Times Company