DarkSide Ransomware: Quem estava por trás do ataque ao oleoduto colonial?
É preciso um nível considerável de audácia para mexer com empresas tão poderosas quanto os proprietários de oleodutos e gasodutos. Mas é isso que os torna alvos lucrativos – suas riquezas!
DarkSide Ransomware é algum Robin Hood moderno? Ou há algo mais escuro assomando no abismo de seu anonimato?
A história do ataque do oleoduto colonial
De 6 de maio de 2021 a 12 de maio de 2021, o fornecimento de gasolina e combustível de aviação do Texas para o lado sudeste dos Estados Unidos foi interrompido.
A empresa privada Colonial Pipeline enfrentou um ataque cibernético que, por sua vez, interrompeu o fornecimento de combustível de seus dutos principais.
A empresa conseguiu manter uma linha operacional por meio de controle manual; no entanto, é óbvio que não foi o suficiente.
Os hackers foram capazes de se infiltrar e assumir o controle de todos os dados, forçando a Colonial Pipeline a congelar os sistemas e operações de TI – tudo graças ao DarkSide Ransomware.
O que é DarkSide Ransomware?
DarkSide Ransomware é uma empresa Ransomware-as-a-Service (RaaS) que permite que os cibercriminosos visem empresas que dependem da infraestrutura digital e extorquem grandes quantias de dinheiro delas.
Quando o incidente Colonial Pipeline chegou ao noticiário, havia três maneiras de o DarkSide Ransomware tentar limpar seu nome.
Uma maneira era se retratar como criminosos com princípios. O DarkSide afirma que nunca tem como alvo hospitais, escolas, instituições governamentais e qualquer coisa que afete o público em geral.
Eles disseram que levam em consideração a renda anual da empresa ao decidir o resgate, para garantir que a empresa possa pagar o resgate.
A segunda maneira era parecer caridoso. Eles alegaram ter doado grandes quantias de dinheiro roubado para instituições de caridade. Este foi comprovado por provas postadas em seu site.
O problema de fornecer prova de doação de dinheiro roubado para um determinado programa de caridade é que, uma vez provado que a quantia foi roubada, ela é apreendida e devolvida. O que significa que nada disso é usado pela instituição de caridade.
A terceira tentativa foi seu pedido de desculpas pelos problemas enfrentados pelo público. Eles disseram que calcularam mal o impacto que isso teria sobre as pessoas que dependem do fornecimento de Oleoduto Colonial.
Quem foram os responsáveis pelo ataque ao oleoduto colonial?
Estão surgindo teorias de que o DarkSide Ransomware se originou em algum lugar da Europa Oriental. Alguns foram mais específicos ao mencionar a Rússia e a Ucrânia.
Muitas pessoas acreditam que ela tem franquias em vários países, incluindo Irã e Polônia. Quem são esses predadores? E de onde é essa empresa? Ainda temos que descobrir.
Tudo o que sabemos por enquanto é que é uma empresa que fornece um serviço ilegal para todos os tipos de pessoas, e o verdadeiro criminoso por trás do ataque Colonial Pipeline pode ser qualquer um – até mesmo uma pessoa sem formação em ciência da computação.
Como tudo funciona?
O DarkSide Ransomware tem um padrão. A primeira etapa é obter acesso a todos os dados que uma empresa possui. Isso geralmente é feito por meio de phishing, força bruta (scripts que tentam todas as combinações possíveis) e outros meios de decifrar o código.
Depois de obter acesso, o software criptografa todos os arquivos do banco de dados. Além disso, todos os arquivos importantes são copiados e enviados para o grupo DarkSide, que pode posteriormente ser usado para chantagear a empresa.
Além de não ter acesso aos próprios dados, operações e sistemas, a empresa sofre pressão para cumprir todas as demandas para não acabar no noticiário por ter sua segurança violada e dados vazados.
As negociações são feitas em chamadas e, provavelmente, por agentes de ransomware DarkSide. Depois que o valor é pago em criptomoeda, e se o negócio tiver sorte, os dados são descriptografados.
Ransomware-as-a-Service está em ascensão
O problema com o DarkSide Ransomware é que ele capacita criminosos que anteriormente não tinham as habilidades para hackear sistemas inteiros de negócios.
A triste verdade é que a maioria desses criminosos tem como alvo as pequenas e médias empresas. E na maioria das vezes, eles não mantêm sua palavra (sobre suas políticas e promessas) por causa de erros de cálculo ou pura malícia.