La banda de ransomware DarkSide ha recaudado al menos $ 90 millones en rescates pagados por sus víctimas durante los últimos nueve meses a múltiples billeteras Bitcoin.
Alrededor del 10% de las ganancias provino en una semana de atacar solo a dos empresas: Colonial Pipeline, el mayor sistema de oleoductos de Estados Unidos, y Brenntag, una gran empresa de distribución de productos químicos en Alemania.
Pagos de rescate enormes
La empresa de análisis de blockchain Elliptic encontró y analizó los pagos de rescate realizados a DarkSide desde 47 billeteras Bitcoin distintas. Las transacciones totalizaron poco más de $ 90 millones desde octubre de 2020.
Suponiendo que estos son todos los pagos que DarkSide recibió de sus víctimas, el rescate promedio del grupo sería de $ 1.9 millones, lo que convierte al actor de amenazas en uno de los más codiciosos en el negocio del ransomware.
En un informe de ayer, el servicio de inteligencia de la Dark web DarkTracer cuenta con 99 víctimas de DarkSide. Sin embargo, el número puede ser un poco más alto.
Una publicación de blog del proveedor de servicios Managed Detection and Response (MDR) eSentire el 12 de mayo, un día antes de que cerraran las operaciones de DarkSide , contó 59 víctimas enumeradas en el sitio de filtración de la pandilla, que se sumarían a las 47 asociadas con las billeteras de Bitcoin que Elliptic analizó.
Aunque DarkSide se lanzó en agosto de 2020 , la pandilla se convirtió en un actor prolífico en la escena del ransomware y últimamente vio un aumento significativo en las ganancias.
Elliptic señala en un informe la semana pasada que la operación generó $ 17,5 millones , que es alrededor del 20% de sus ganancias totales conocidas, solo en los últimos tres meses.
Los ataques contra Colonial Pipeline y la empresa de distribución de productos químicos Brenntag generaron a los ciberdelincuentes alrededor de $ 10 millones, ya que el primero pagó casi $ 5 millones y el segundo pagó un rescate de $ 4,4 millones.
Dividiendo las ganancias
Al ser una operación de ransomware como servicio (RaaS), las ganancias de DarkSide se dividieron entre los desarrolladores del malware y los afiliados que violaron las redes de las víctimas, robaron datos e implementaron el malware de cifrado de archivos.
Los afiliados o socios suelen obtener la mayor parte del dinero porque hacen la mayor parte del trabajo. En el caso de DarkSide, obtuvieron entre el 75% y el 90% de las ganancias, dependiendo del tamaño del rescate.
Para rescates menores a $ 500,000, los desarrolladores de DarkSide tomarían el 25%; la participación disminuyó al 10% para pagos mayores de más de $ 5 millones.
El cofundador y científico jefe de Elliptic, el Dr. Tom Robinson, dice que «la división del pago del rescate es muy clara de ver en la cadena de bloques» y que el desarrollador de malware recibió $ 15,5 millones en bitcoins de las ganancias totales.
Con $ 90 millones de rescates durante un período de nueve meses, DarkSide se encuentra entre los grupos de ransomware más rentables:
- Ryuk: al menos $ 150 millones
- GandCrab – $ 150 millones (auto reclamación) en un año y medio
- REvil – $ 100 millones (auto reclamación) en un año
- Maze / Egregor: más de $ 63 millones recibidos en una dirección de Bitcoin en cuatro meses (entre agosto de 2020 y fin de año)
- Netwalker – $ 25 millones en cinco meses
- Qlocker – $ 260,000 en 5 días
Luego de las transacciones de billeteras pertenecientes a afiliadas de DarkSide, Robinson descubrió que el 18% de los ingresos se enviaron a algunos servicios de intercambio y el 4% se destinó a un gran mercado oscuro que brinda, entre otros, servicios de retiro de efectivo.
Fuente: www.bleepingcomputer.com
