Ransomware en auge: Grupo Darkside lanza ataques de ransomware personalizados

Recientemente, MalwareHunterTeam encontró una nueva operación de ransomware, denominada DarkSide, capaz de lanzar  ataques personalizados y solicitando así millones de dólares como pago de rescate. Una similitud en el código fuente implica que estos actores de amenazas podrían estar siguiendo los pasos del ransomware GandCrab y REvil.

¿Cómo operan los actores?

La nueva operación de ransomware DarkSide está atacando a numerosas empresas, tratando de obtener acceso a una cuenta de administrador y al controlador de dominio de Windows en la red violada.

  • Después de entrar, recopilan datos no cifrados de los servidores de la víctima y los cargan en sus propios dispositivos.
  • Según Vitali Kremez de Advanced Intel , DarkSide termina varias bases de datos, aplicaciones de oficina y clientes de correo para preparar la máquina de las víctimas para el cifrado.
  • Sus demandas de rescate oscilan entre $ 200,000 y $ 2,000,000. Aparentemente, los piratas informáticos también poseen un sitio de filtraciones donde enumeran el nombre de la empresa víctima, la información de la fecha violada y capturas de pantalla como prueba.

La otra cara de la moneda

Los actores de amenazas de DarkSide afirmaron haber ganado millones de dólares trabajando con otros conocidos criptolockers. 

  • Afirmaron que estaban buscando un nuevo producto personalizado para satisfacer sus necesidades y, por lo tanto, crearon este ransomware.
  • El comunicado de prensa también sugiere que estos atacantes planean evitar apuntar a algunos sectores, incluidos la salud, la educación, el gobierno y las organizaciones sin fines de lucro.

Posible conexión a REvil y GandCrab

  • DarkSide evita deliberadamente infectar a las víctimas en los países de la Comunidad de Estados Independientes (CEI). El código fuente para realizar esta acción es similar al código utilizado en REvil y GandCrab.
  • Además, la nota de rescate dejada por REvil usa casi la misma plantilla que la utilizada por la nota de rescate de REvil.