Grupo hacker some após faturar US$ 5 milhões em bitcoin usando ransomware
Grupo DarkSide recebeu US$ 5 milhões em bitcoins como resgate em ataque, mas decidiu encerrar atividades repentinamente
Grupo DarkSide recebeu US$ 5 milhões em bitcoins como resgate em ataque, mas decidiu encerrar atividades repentinamente
A Colonial Pipeline é a maior operadora de dutos de combustíveis dos Estados Unidos, mas, neste mês de maio, ficou conhecida por ter sofrido um ataque de ransomware e desembolsado US$ 5 milhões em bitcoins para recuperar seus sistemas. Mas o detalhe mais curioso veio depois: o DarkSide, grupo que está por trás do ataque, supostamente decidiu encerrar suas atividades.
O ransomware comprometeu apenas a rede de negócios da Colonial Pipeline, mas, temendo que o problema alcançasse proporções maiores, a empresa decidiu desativar os sistemas que controlam seus dutos.
Como os dutos da Colonial Pipeline respondem pelo fornecimento de 45% dos combustíveis consumidos na costa leste dos Estados Unidos, a pressão para o retorno das atividades da empresa era muito grande.
Para completar, o sistema de cobrança da companhia estava entre os que foram afetados pelo ransomware. Sem ele, a Colonial Pipeline não pode monitorar a distribuição de combustível e cobrar os clientes.
Especialistas em segurança recomendam que vítimas de ransomware não paguem o resgaste. Em vez disso, autoridades devem ser procuradas e, se o departamento de TI da organização não puder resolver o problema, uma empresa de segurança especializada em ransomwares pode ser acionada.
Ao desativar parte de seus sistemas por precaução, a Colonial Pipeline indicava que iria seguir por esse caminho. Porém, na semana passada, vieram à tona indícios de que a empresa pagou 75 bitcoins — na ocasião, valor equivalente a US$ 5 milhões — como resgate para ter suas operações restabelecidas.
Era mais uma vitória do DarkSide. Mas, dias depois, essa história teve um desdobramento inesperado.
Um levantamento da Chainalysis aponta que o DarkSide pode ter faturado quase US$ 50 milhões apenas no primeiro trimestre de 2021. Para conseguir tanto dinheiro, o grupo explora um “modelo de negócio” que ficou conhecido como ransomware-as-a-service: o DarkSide oferece o ransomware a outros grupos em troca de uma parte dos rendimentos obtidos por eles.
Na prática, trata-se de um programa de afiliados que permite ao grupo faturar mais do que se agisse sozinho.
Mas, na última quinta-feira (13), os sites que o DarkSide mantinha na dark web ficaram inacessíveis, sem nenhuma explicação prévia.
Até agora, não há confirmação sobre o que aconteceu. No entanto, uma mensagem em russo atribuída ao grupo e direcionada aos afiliados foi identificada pela empresa de segurança Intel471 horas depois de os sites caírem.
O texto diz que o DarkSide teve o acesso aos seus servidores bloqueado. O serviço de hospedagem responsável foi contatado, mas não forneceu explicações por determinação das autoridades, diz outro trecho da mensagem.
Tem mais. O comunicado informa que fundos do grupo foram movidos para uma conta desconhecida.
Nesse sentido, a empresa Elliptic afirma que o equivalente a US$ 5 milhões em bitcoins saíram da carteira da DarkSide na quinta-feira passada. Não ficou claro, porém, se o valor foi apreendido por autoridades ou movimentado pelo próprio grupo.
Por causa do suposto encerramento de atividades, o grupo prometeu liberar ferramentas de descriptografia para as organizações que foram vítimas de seu ransomware, mas não pagaram resgate.
Se a mensagem for verdadeira, autoridades policiais estão no encalço do DarkSide e, por isso, o grupo decidiu se dispersar. A mensagem é finalizada com o seguinte recado: “diante do exposto e devido à pressão dos Estados Unidos, o programa de afiliados foi encerrado. Fiquem seguros e boa sorte”.
Na sexta-feira passada (14), um ransomware derrubou os sistemas da Health Service Executive (HSE), serviço de saúde pública da Irlanda. Não está claro se o ataque tem ligação com o DarkSide. Informações preliminares indicam que, na verdade, o ransomware Conti é o responsável pela ação.
O fato é que, horas depois de o ataque ter sido descoberto, o governo irlandês recebeu um pedido de resgate em bitcoins equivalente a US$ 20 milhões, mas tratou de deixar um recado: nenhum valor será repassado aos criminosos, mesmo com vários de seus serviços de saúde tendo sido prejudicados.
Trabalhando em conjunto com empresas de seguranças e autoridades, o HSE segue tentando restabelecer os sistemas. Alguns, como o que permite cadastro para vacina contra COVID-19, já estão funcionando.
Com informações: Ars Technica, The Verge.