Grupo hacker some após faturar US$ 5 milhões em bitcoin usando ransomware

Grupo DarkSide recebeu US$ 5 milhões em bitcoins como resgate em ataque, mas decidiu encerrar atividades repentinamente

Emerson Alecrim
• Atualizado há 3 anos
Malware
Grupo DarkSide "some" após ataque (imagem ilustrativa: Christiaan Colen/Flickr)

A Colonial Pipeline é a maior operadora de dutos de combustíveis dos Estados Unidos, mas, neste mês de maio, ficou conhecida por ter sofrido um ataque de ransomware e desembolsado US$ 5 milhões em bitcoins para recuperar seus sistemas. Mas o detalhe mais curioso veio depois: o DarkSide, grupo que está por trás do ataque, supostamente decidiu encerrar suas atividades.

O ataque à Colonial Pipeline

O ransomware comprometeu apenas a rede de negócios da Colonial Pipeline, mas, temendo que o problema alcançasse proporções maiores, a empresa decidiu desativar os sistemas que controlam seus dutos.

Como os dutos da Colonial Pipeline respondem pelo fornecimento de 45% dos combustíveis consumidos na costa leste dos Estados Unidos, a pressão para o retorno das atividades da empresa era muito grande.

Para completar, o sistema de cobrança da companhia estava entre os que foram afetados pelo ransomware. Sem ele, a Colonial Pipeline não pode monitorar a distribuição de combustível e cobrar os clientes.

Especialistas em segurança recomendam que vítimas de ransomware não paguem o resgaste. Em vez disso, autoridades devem ser procuradas e, se o departamento de TI da organização não puder resolver o problema, uma empresa de segurança especializada em ransomwares pode ser acionada.

Ao desativar parte de seus sistemas por precaução, a Colonial Pipeline indicava que iria seguir por esse caminho. Porém, na semana passada, vieram à tona indícios de que a empresa pagou 75 bitcoins — na ocasião, valor equivalente a US$ 5 milhões — como resgate para ter suas operações restabelecidas.

Era mais uma vitória do DarkSide. Mas, dias depois, essa história teve um desdobramento inesperado.

DarkSide sai de cena (ou tenta)

Um levantamento da Chainalysis aponta que o DarkSide pode ter faturado quase US$ 50 milhões apenas no primeiro trimestre de 2021. Para conseguir tanto dinheiro, o grupo explora um “modelo de negócio” que ficou conhecido como ransomware-as-a-service: o DarkSide oferece o ransomware a outros grupos em troca de uma parte dos rendimentos obtidos por eles.

Na prática, trata-se de um programa de afiliados que permite ao grupo faturar mais do que se agisse sozinho.

Mas, na última quinta-feira (13), os sites que o DarkSide mantinha na dark web ficaram inacessíveis, sem nenhuma explicação prévia.

Até agora, não há confirmação sobre o que aconteceu. No entanto, uma mensagem em russo atribuída ao grupo e direcionada aos afiliados foi identificada pela empresa de segurança Intel471 horas depois de os sites caírem.

O texto diz que o DarkSide teve o acesso aos seus servidores bloqueado. O serviço de hospedagem responsável foi contatado, mas não forneceu explicações por determinação das autoridades, diz outro trecho da mensagem.

Tem mais. O comunicado informa que fundos do grupo foram movidos para uma conta desconhecida.

Nesse sentido, a empresa Elliptic afirma que o equivalente a US$ 5 milhões em bitcoins saíram da carteira da DarkSide na quinta-feira passada. Não ficou claro, porém, se o valor foi apreendido por autoridades ou movimentado pelo próprio grupo.

Por causa do suposto encerramento de atividades, o grupo prometeu liberar ferramentas de descriptografia para as organizações que foram vítimas de seu ransomware, mas não pagaram resgate.

Se a mensagem for verdadeira, autoridades policiais estão no encalço do DarkSide e, por isso, o grupo decidiu se dispersar. A mensagem é finalizada com o seguinte recado: “diante do exposto e devido à pressão dos Estados Unidos, o programa de afiliados foi encerrado. Fiquem seguros e boa sorte”.

Serviço de saúde da Irlanda não vai pagar

Na sexta-feira passada (14), um ransomware derrubou os sistemas da Health Service Executive (HSE), serviço de saúde pública da Irlanda. Não está claro se o ataque tem ligação com o DarkSide. Informações preliminares indicam que, na verdade, o ransomware Conti é o responsável pela ação.

O fato é que, horas depois de o ataque ter sido descoberto, o governo irlandês recebeu um pedido de resgate em bitcoins equivalente a US$ 20 milhões, mas tratou de deixar um recado: nenhum valor será repassado aos criminosos, mesmo com vários de seus serviços de saúde tendo sido prejudicados.

Trabalhando em conjunto com empresas de seguranças e autoridades, o HSE segue tentando restabelecer os sistemas. Alguns, como o que permite cadastro para vacina contra COVID-19, já estão funcionando.

Com informações: Ars Technica, The Verge.

Relacionados

Escrito por

Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.