El truco de DarkSide fue solo el comienzo. Ojalá el FBI se dé cuenta

El grupo de piratas informáticos responsable del ataque de ransomware a Colonial Pipeline de esta semana es sofisticado e incluso publica material de marketing que parece una copia de una empresa emergente del Área de la Bahía

Luke Winkie
martes 11 mayo 2021 20:33
EE. UU. declara emergencia tras un ciberataque en un importante oleoducto
Read in English

Este lunes, el FBI admitió una derrota temporal. DarkSide, un colectivo de piratería corporativa que se cree tiene su sede en Europa del Este, ha sido identificado como el culpable de un ataque masivo de ransomware en Colonial Pipeline. La compañía de petróleo y gas es la red de oleoductos más grande de los Estados Unidos y, a principios de esta semana, ya habían estado desconectados durante cuatro días.

La Casa Blanca celebró reuniones de emergencia y el FBI envió pings de emergencia a otros proveedores de energía en caso de que el ataque hiciera metástasis en otros sistemas informáticos. Ellos saben, presumiblemente, que muchos ciberdelincuentes se han aburrido e insatisfecho con pequeñas victorias como tesoros de contraseñas y estafas de tarjetas de crédito. En cambio, han pasado a recompensas mucho más grandes, incluidas piezas cruciales de nuestra infraestructura nacional.

Piense en DarkSide como un intermediario de malware. Se especializan en guiones malévolos listos para usar, que cualquier delincuente emprendedor puede comprar a un precio elevado. Implemente esos scripts a través del ojo de la cerradura correcto, en este caso, colocándolos bajo la piel de una empresa que da servicio a toda la costa este con un clic errante, y el resto del trabajo se vuelve elemental. “Ransomware” es exactamente lo que parece. Los piratas informáticos tienen cualquier ventaja que hayan obtenido en la violación de seguridad (documentos confidenciales, información personal o, en este caso, la amenaza de una escasez nacional de gas) y se la entregan a la propiedad a cambio de una carga útil de efectivo. Es una estrategia de extorsión que se remonta a los albores de Internet. La única diferencia es cómo DarkSide ha optimizado los cabos sueltos.

El año pasado, Brian Barrett de Wired escribió sobre cuánto del aparato de marketing de DarkSide se lee como una copia de un anuncio impecable de una startup respaldada por VC. La "empresa", por mucho que pueda llamarla, ofrece tiempos de entrega garantizados y asistencia al cliente directa e individualizada, para que pueda solucionar problemas de su código malicioso mientras lo coloca en su próximo objetivo de Fortune 500. DarkSide afirma tener algunos terceros rieles y una base moral; dicen que nunca facilitarán un ataque contra “hospitales, escuelas, organizaciones sin fines de lucro u objetivos gubernamentales”, lo que claramente es una forma de equipar su subterfugio con un credo populista fácil. (Y francamente, es difícil sentir mucha simpatía por los cárteles de los combustibles fósiles. Ciertamente saben cómo elegir a sus víctimas). “Antes de cualquier ataque, analizamos cuidadosamente su contabilidad y determinamos cuánto puede pagar en función de sus ingresos netos”, escribió DarkSide en un comunicado de prensa sorprendentemente descarado, citado por Barrett en ese artículo de Wired. El grupo de piratas informáticos ha estimado correctamente que EE. UU. no tiene una metodología para procesar a un grupo de piratas informáticos talentosos fuera de sus fronteras. A medida que las operaciones de DarkSide se vuelvan más sofisticadas, las oficinas en todo Estados Unidos estarán más expuestas.

Leer más: Ataque a Colonial Pipeline: Rusia niega su participación, ya que los aviones se desvían en medio de la temida escasez de gas

"Creamos DarkSide porque no encontramos el producto perfecto para nosotros", continúa ese comunicado de prensa. "Ahora lo tenemos".

Por ahora, los estadounidenses simplemente necesitarán acostumbrarse a la idea de que las lagunas y vulnerabilidades se guardan en todas nuestras superestructuras digitales, e incluso en una pieza vital del marco de referencia, como un oleoducto tan enredado con nuestra red industrial que bien podría ser un problema. Empresa pública: se puede poner de rodillas con unas pocas líneas de código. Colonial Pipeline afirma que el servicio debería volver a estar en funcionamiento al final de la semana. Pero, ¿qué sigue? Los gobiernos de las ciudades de Atlanta y Nueva Orleans se han visto afectados por ataques similares en el pasado, al igual que el departamento de policía de Washington DC. La ficción que nos han vendido sobre la solidez de las personas a las que confiamos nuestra información, desde los bancos hasta nuestros médicos y el propio gobierno, parece ser más tenue que nunca. Si Colonial Pipeline puede caer, entonces claramente, todo está sobre la mesa.

2021 es un momento para reexaminar todos los planes de seguridad y contingencia; para verificar los problemas que hierven a fuego lento debajo del capó. En esos felices días previos a la crisis, enero y febrero del año pasado, los funcionarios de salud pública aseguraron a la población que el CPOVID-19 nunca podría abrirse camino a través del complejo médico estadounidense acorazado. No habría emergencia, no habría hacinamiento, no habría botes en las costas de Manhattan y no habría escasez de pruebas o PPE, dijeron. Nosotros en Estados Unidos estaríamos vacunados de los fracasos de otros.

Francamente, el truco de DarkSide me da las mismas noticias siniestras. "El hack de Garmin fue la advertencia", se lee en un titular de Wired de agosto pasado después de que la compañía de tecnología fuera brutalmente atacada por un hack de ransomware similar. Ese artículo detalla cómo estos intrusos continúan aumentando el alcance de su empresa; En otras palabras, el hecho de que los trucos individuales hayan “terminado” no significa que las personas que están detrás de ellos no estén creciendo en conocimiento y estatura continuamente. Es probable que no sepamos cuán vulnerables somos hasta que sea demasiado tarde.

Luke Winkie es un escritor de tecnología independiente