Em informe enviado aos ‘afiliados’ do DarkSide, grupo afirmou ter perdido controle da sua infraestrutura. Ação pode ser tentativa de fraudar cúmplices dos ataques. Após atacar oleoduto da Colonial Pipeline, autores de vírus que embaralha arquivos alegaram ‘pressão das autoridades’.
TheDigitalWay/Pixabay
Os operadores do vírus de resgate DarkSide, responsável pelo ataque que prejudicou o funcionamento de um oleoduto da Colonial Pipeline nos Estados Unidos, enviaram um comunicado aos seus “afiliados” informando que a atividade será encerrada.
O DarkSide é fornecido pelos seus criadores na modalidade de “ransomware as a service” (“ransomware como serviço”).
O vírus é “alugado” para afiliados, que atuam diretamente nos ataques às empresas, enquanto os responsáveis pela praga digital negociam os pagamentos e distribuem os ganhos.
As empresas de segurança FireEye e Intel 471 tiveram acesso a uma comunicação dirigida a esses afiliados. No texto em russo, os responsáveis pelo vírus dizem ter perdido acesso a toda a sua infraestrutura – inclusive um blog, o sistema de pagamentos e o servidor que controlava o vírus.
O desligamento dos servidores do DarkSide também foi confirmado pela Recorded Future, outra empresa de segurança.
Os criadores da praga digital alegaram estar sob pressão das autoridades norte-americanas, que supostamente estariam ligadas ao desmantelamento da infraestrutura.
Contudo, nenhuma ação foi confirmada pelo governo dos Estados Unidos até o momento.
SAIBA MAIS: Após ataque hacker em oleoduto, motoristas fazem fila em postos de gasolina nos EUA
No comunicado, os autores do DarkSide ainda prometeram distribuir uma ferramenta de decifragem para todas as empresas atacadas.
Isso permitiria recuperar os arquivos perdidos sem pagar os resgates cobrados pelo grupo, que em alguns casos eram de milhões de dólares.
Vírus de resgate como o DarkSide embaralham os dados dos sistemas que atacam e cobram pelo fornecimento do programa que desfaz o estrago.
Na maioria dos casos, nem mesmo especialistas em segurança conseguem recriar esses softwares sem o conhecimento privilegiado das chaves de segurança usadas pelo vírus.
É possível recuperar arquivos sequestrados por vírus de resgate?
Como a infraestrutura da praga digital foi desconectada, não ficou claro de que maneira essas ferramentas chegariam às vítimas.
Criminosos especulam sobre ‘calote’
Não seria a primeira vez que um grupo criminoso decide abandonar uma operação com vírus de resgate e distribuir uma ferramenta de decifragem.
Os autores do TeslaCrypt tomaram essa decisão em 2016. O Shade, outro vírus do gênero, também teve seu desligamento acompanhado pelo lançamento de uma ferramenta de decifragem em 2020.
No caso do DarkSide, a FireEye revelou a existência de uma especulação, inclusive ventilada por outros criminosos, de que os responsáveis estariam fraudando os hackers que antes eram seus “parceiros”.
Nesse cenário, os administradores do vírus deixariam de enviar os repasses referentes às comissões geradas pelos ataques em curso e embolsariam todos os ganhos. Na prática, seria um “calote”.
A suposta ação das autoridades serviria apenas de pretexto para realizar essa fraude, permitindo que os criadores do vírus desaparecessem.
Manter contato com os autores do vírus ou buscar alguma retaliação seria perigoso para os criminosos, já que eles poderiam cair na rede dos investigadores.
A justificativa tem ao menos um verniz de realidade. Em seu “código de conduta”, os responsáveis pelo DarkSide diziam evitar alvos que poderiam causar “dano social”.
O ataque á Colonial Pipeline, além de causar problemas no fornecimento de combustível, chamou a atenção das autoridades.
Os operadores do DarkSide teriam recebido quase US$ 5 milhões só de um resgate pago pela Colonial Pipeline, de acordo com uma reportagem da Bloomberg que citou fontes anônimas. Outro ataque recente, revelado pelo site “Bleeping Computer”, teria rendido mais US$ 4 milhões para os criminosos.
Estimativas calculadas com base na análise de transferências com criptomoedas indicam que a operação já faturou US$ 60 milhões desde o início das atividades no ano passado.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com
Veja dicas para se manter seguro on-line
Criadores de vírus que atacou oleoduto nos EUA anunciam fim das operações e prometem recuperação de arquivos
Comentar