¿Ha sido el final del grupo criminal DarkSide?

Ha dirigido los ataques a decenas de organizaciones en los sectores de servicios financieros, tecnología, legal, fabricación, venta minorista

.
 .  (Foto: iStock)

El pasado 13 de mayo de 2021, el grupo de cibercriminales y el ransomware que desarrollaron, conocidos ambos como DarkSide, dieron a conocer que dejarían de operar el programa DarkSide RaaS (Ransomware como servicio, por sus siglas en inglés) y esto parecía ser el fin de esta banda delictiva.

No obstante un par de días después se encontró una variante de DarkSide con nuevas funciones, con lo cual se han disparado nuevamente las alertas ya que esta nueva amenaza podría significar que DarkSide mantendrá sus operaciones — quizá con otro nombre — y que podrían también continuar con su programa de afiliados, e incluso, reclutando más.

Víctor Ruiz, fundador de SILIKN y mentor del Centro de Ciberseguridad, explica que lo que se sabe hasta el momento, es que DarkSide ha dirigido los ataques a decenas de organizaciones en los sectores de servicios financieros, tecnología, legal, fabricación, venta minorista y servicios profesionales, a través de un sofisticado programa RaaS, en donde los esquemas eran:

a) Los afiliados compraban el ransomware y controlaban todo el ataque.

b) Los afiliados proporcionaban el acceso y DarkSide llevaba a cabo el ataque.

c) DarkSide proporcionaba el acceso y los afiliados ejecutaban el ataque.

d) DarkSide se encargaba de efectuar el ataque completo en objetivos realmente atractivos.

En los casos a, b y c, las ganancias de cualquier extorsión exitosa se dividían entre DarkSide y los afiliados.


Aún cuando fuera sencillo reconocer que el ataque había sido realizado con el ransomware DarkSide, la principal dificultad era saber quién estaba llevando a cabo el ataque. Se calcula que en todo su periodo de operaciones DarkSide y sus afiliados han recaudado más de $90 millones de dólares en Bitcoin.

Como se mencionó, el 13 de mayo de 2021, DarkSide anunció el cese de su programa de afiliados. El grupo criminal dijo — sin poder comprobarse — que había perdido acceso a sus servidores de pagos y a su blog y, además, que los fondos que tenían habían sido retirados a una cuenta desconocida, lo cual levantó sospechas entre analistas del sector, así como conjeturas acerca de que si DarkSide había cerrado sus operaciones para no compartir las ganancias con sus afiliados

Lo que todavía no está claro es si DarkSide ha desaparecido o no. Un punto a señalar es que los grupos de cibercriminales comparten o copian técnicas y metodologías entre ellos. Así que podría haber delincuentes que usen las tácticas de DarkSide, aún si este grupo desaparece.

De igual forma, no es probable que DarkSide cierre por completo. El asunto es que se ha vinculado a sus principales dirigentes con la nacionalidad rusa, por lo cual es difícil buscarlos en aquel país, y más complicado, hacer que salgan de Rusia para arrestarlos y juzgarlos en otras naciones.

No hay nada que indique el final permanente de DarkSide. Tanto los miembros de la banda criminal, como el código de ransomware todavía existen. Y el ransomware está lejos de desaparecer porque sigue generando altos ingresos.