Los operadores de ransomware DarkSide se retiran después del hackeo de Colonial Pipeline. Numerosos operadores de ransomware y foros de ciberdelincuencia afirman que su infraestructura se ha desconectado, modificando sus reglas, o están abandonando el ransomware por completo debido a la gran cantidad de atención negativa dirigida a ellos durante la semana pasada.

• El ataque de ransomware a Colonial Pipeline ha causado una gran cantidad de problemas en los Estados Unidos
• Según datos de la aplicación Gasbuddy.com, que rastrea la demanda de combustible, los precios y su disponibilidad, las gasolineras de 15 estados del país, más el Distrito de Columbia, donde se ubica la capital Washington, sufrían escasez de combustible.
•  La zona más impactada es el Distrito de Columbia, con el 81 % de sus estaciones de servicio afectadas, seguida de Carolina de Norte, con el 65 %; Carolina del Sur, con el 48 %; Georgia, con el 45 %, y Maryland, con el 39 %.

Presión de Estados Unidos contra el ransomware: ataque a la empresa oleoductos Colonial Pipeline

El 13 de mayo de 2021, los operadores de DarkSide Ransomware-as-a-Service (RaaS) anunciaron que cesarían inmediatamente las operaciones del programa DarkSide RaaS. Los operadores dijeron que emitirían descifradores a todos sus afiliados para los objetivos que atacaran, y prometieron compensar todas las obligaciones financieras pendientes antes del 23 de mayo de 2021. El grupo, que ha sido nombrado como el responsable del incidente del Oleoducto Colonial, también aprobó una anuncio a sus afiliados que afirma que una parte pública de la infraestructura del grupo fue interrumpida por una agencia de aplicación de la ley no especificada. El blog de nombre y vergüenza del grupo, el sitio web de recolección de rescates y la red de entrega de contenido de datos de los hakeos (CDN) fueron supuestamente confiscados, mientras que los fondos de sus billeteras de criptomonedas supuestamente fueron exfiltrados.

Traducido al inglés, la nota dice:

A partir de la versión uno, prometimos hablar sobre los problemas de manera honesta y abierta. Hace un par de horas, perdimos el acceso a la parte pública de nuestra infraestructura, en particular a la

• Blog
• servidor de pago
• Servidores CDN

Por el momento, no se puede acceder a estos servidores a través de SSH y los paneles de alojamiento han sido bloqueados.

El servicio de soporte de alojamiento no proporciona ninguna información excepto "a solicitud de las autoridades policiales". Además, un par de horas después de la incautación, los fondos del servidor de pagos (que nos pertenece y nuestros clientes) se retiraron a una cuenta desconocida.

Se tomarán las siguientes acciones para resolver el problema actual: Se le proporcionarán herramientas de descifrado para todas las empresas que aún no han pagado.

Después de eso, podrá comunicarse con ellos donde quiera y de la forma que desee. Póngase en contacto con el servicio de asistencia. Retiraremos el depósito para resolver los problemas con todos los usuarios afectados.

La fecha aproximada de compensación es el 23 de mayo (debido a que el depósito se mantendrá en espera durante 10 días en XSS).

En vista de lo anterior y debido a la presión de EE. UU., El programa de afiliados está cerrado. Mantente a salvo y buena suerte.

La página de destino, los servidores y otros recursos se eliminarán en un plazo de 48 horas.

Babuk Ransomware también se va 

DarkSide no fue el único grupo que hizo este tipo de anuncio el 13 de mayo. Otro grupo RaaS, Babuk, afirmó que entregó el código fuente del ransomware a "otro equipo", que continuaría desarrollándolo bajo una nueva marca. El grupo se comprometió a permanecer en el negocio, continuar ejecutando un blog sobre el nombre y la vergüenza de las víctimas, al tiempo que alentaba a otras bandas de ransomware a cambiar a un modo de operación privado. Este anuncio se produjo después de que el grupo divulgara las partes restantes de los datos robados del Departamento de Policía Metropolitana del Distrito de Columbia. Ese archivo, que contenía 250 GB de datos, supuestamente incluía datos personales de oficiales y personal auxiliar, una base de datos llena de información sobre delincuentes, así como información sobre informantes policiales.

Si bien Babuk se comprometió a mantener en funcionamiento sus operaciones, puede resultarle difícil encontrar afiliados. Poco después de los anuncios anteriores, el administrador de uno de los foros de ciberdelincuencia en ruso más populares anunció una prohibición inmediata de toda la actividad relacionada con ransomware en su foro. El foro ahora prohíbe la publicidad de ransomware, las ventas, los servicios de negociación de rescate y ofertas similares. Se eliminarán todos los listados que se encuentren actualmente en los foros. El administrador explicó la medida diciendo que las operaciones de ransomware se están volviendo "cada vez más tóxicas" y peligrosas para la comunidad clandestina.

Ese anuncio causó un efecto dominó en el foro, lo que provocó que otros afiliados conocidos de RaaS hicieran sus propios anuncios sobre el estado de sus operaciones. Un operador conocido por estar detrás del programa de ransomware REvil anunció que dejaría de promocionar su malware en el foro, eliminando el hilo del foro donde se anunciaba el servicio. El operador dijo que REvil continuaría operando en otro conocido foro de ciberdelincuencia en ruso, pero esperaba que ese foro pronto también prohibiría toda la actividad relacionada con el ransomware. Si eso ocurriera, el operador dijo que REvil probablemente se volvería completamente privado.

Los grupos REvil y Avaddon también anuncian cambios a sus afiliados

Poco después, el operador de REvil emitió declaraciones coordinadas con un operador detrás del programa Avaddon RaaS, anunciando una enmienda a las "reglas" de sus organizaciones. Las actualizaciones prohibieron el afiliados de dirigirse a organizaciones gubernamentales, sanitarias, educativas y de caridad, independientemente del país en el que operen. Además, todos los demás objetivos deben ser aprobados previamente por los operadores del ransomware antes de la implementación real.

Todas estas acciones pueden vincularse directamente a la reacción relacionada con los ataques de ransomware de alto perfil cubiertos por los medios de comunicación esta semana. Sin embargo, se debe aplicar una fuerte advertencia a estos desarrollos: es probable que estos operadores de ransomware estén tratando de retirarse del centro de atención más que descubrir repentinamente el error de sus caminos. Es muy probable que varios de los operadores operen en sus propios grupos cerrados, resurgiendo con nuevos nombres y variantes de ransomware actualizadas. Además, los operadores tendrán que encontrar una nueva forma de "lavar" la criptomoneda que obtienen de los rescates. 

Lavado de dinero criptomonedas BitMix

BitMix, un popular servicio de mezcla de criptomonedas utilizado por Avaddon, DarkSide y REvil, supuestamente ha cesado sus operaciones. Varios clientes aparentes del servicio informaron que no pudieron acceder a BitMix en la última semana.

Además, habrá operadores de ransomware que continuarán con sus propias operaciones a pesar de toda la atención de esta semana. El mismo día que los anuncios coordinados de REvil y Avaddon: el operador de servicios de salud de Irlanda tuvo que cerrar todos sus sistemas de TI debido a un ataque de ransomware "significativo".

Fuentes:

https://www.intel471.com/blog/darkside-ransomware-shut-down-revil-avaddon-cybercrime

https://therecord.media/darkside-ransomware-gang-says-it-lost-control-of-its-servers-money-a-day-after-biden-threat/