Colonial Pipeline Ransomware Group pierde el control de la infraestructura crítica del servidor
Los delincuentes asociados con el ataque de ransomware DarkSide responsable de paralizar las entregas de combustible y el alza de los precios del combustible en los Estados Unidos han revelado que sus "servidores fueron incautados" y el dinero transferido a una "cuenta desconocida".
DarkSide Ransomware-as-a-Service cesa sus operaciones
El ataque de ransomware DarkSide en Colonial Pipeline ha causado una interrupción masiva en los EE. UU. El oleoducto transporta productos petroleros refinados a unas 5.500 millas en todo el país, transporta alrededor de 3 millones de barriles de petróleo por día entre Texas y Nueva York y representa alrededor del 45 por ciento del suministro de combustible de la costa este.
El ataque de ransomware dejó fuera de línea el oleoducto crítico, provocando escenas frenéticas cuando los ciudadanos se apresuraron a llenar todo tipo de contenedores con combustible en anticipación a la escasez, lo que obligó a que los precios de la gasolina llegaran a $ 3 por galón, el más alto visto desde 2014.
Además, Colonial anunció que había pagado al operador de ransomware un rescate de $ 5 millones para recibir una herramienta de descifrado, pero aún así tuvo que recurrir a la recuperación de datos "tradicional" ya que la empresa de ransomware no respondió lo suficientemente rápido. Aunque eso suena como un escenario en el que todos ganan para una empresa de ransomware, otras víctimas pueden negarse a pagar un rescate si creen que la empresa no proporcionará ayuda después.
Ahora, en un giro de los acontecimientos, los operadores de ransomware como servicio informaron a sus afiliados que habían perdido el control de una parte significativa de la propia red de ransomware, incluidos los servidores de pago, junto con los fondos que se habían transferido a otras cuentas inaccesibles. .
La publicación se realizó en un foro del crimen ruso, aunque las empresas de ciberseguridad que monitorean el caso, como Mandiant de FireEye, han levantado sospechas con respecto a los anuncios repentinos.
La publicación citó la presión policial y la presión de los Estados Unidos para tomar esta decisión. @Mandiant no ha validado de forma independiente estas afirmaciones y hay algunas especulaciones por parte de otros actores de que esto podría ser una estafa de salida. (3/3)
– FireEye (@FireEye) 14 de mayo de 2021
El momento no solo es muy sospechoso, sino que encaja con otras operaciones de ransomware como servicio vistas anteriormente. Después de una puntuación exitosa, el servicio desaparece del mapa por un tiempo, resurgiendo en una fecha posterior con un nuevo objetivo.
Sin embargo, el anuncio vino con una pequeña bonificación para otras víctimas del mismo ransomware. Antes de cerrar el negocio, el operador de ransomware proporcionará descifradores a cualquiera que aún no haya pagado un rescate, encajando con el mensaje anterior del operador de que solo están en esto por el dinero, no para causar una interrupción real y daños a la propiedad.
Por noble que sea, el daño para muchas personas ya está hecho.
El ransomware como servicio mantiene ágil la actividad delictiva
El ransomware sigue siendo un flagelo, y las víctimas se enfrentan a la eterna batalla entre pagar para descifrar y recuperar archivos, sabiendo al mismo tiempo que esos fondos están alimentando actividades delictivas.
En este caso, Colonial sintió que no tenía más remedio que pagar para recibir un descifrador, incluso si ese proceso fallaba.
Muchas empresas quieren que se prohíban los pagos de ransomware, afirmando que el pago solo alienta a los delincuentes a realizar más ataques. Pero mientras los ataques continúan y los gobiernos, las empresas y los servicios públicos sufren, el pago de rescates seguramente debe hacerse caso por caso.