DarkSide, el grupo cibercriminal que realiza obras de caridad y no quiere «matar a tu empresa»

Se cree que el grupo opera desde Europa del Este y que lleva activo desde hace apenas unos meses. En concreto, desde agosto de 2020. A pesar de su juventud, los integrantes que lo conforman saben perfectamente lo que hacen, ya que han estado relacionados con otras bandas en el pasado. Entre ellas se piensa que podría encontrarse REvil , el grupo de cibercriminales detrás de los ataques sufridos por tecnológicas como Apple y Acer hace unas semanas. «Somos un producto nuevo en el mercado, pero eso no significa que no tengamos experiencia o vengamos de la nada. Recibimos ganancias de millones de dólares al asociarnos con otros criptolockers conocidos. Creamos DarkSide porque no encontramos el producto perfecto para nosotros. Ahora lo tenemos», destacaban desde el grupo en un 'comunicado de prensa' publicado en el internet oscuro en el que anunciaban su nacimiento.

Al igual que REvil, DarkSide se ha especializado en los ataques dirigidos contra empresas capaces de realizar un pago importante a cambio de recuperar el control de sus equipos cuando son afectados por su 'ransomware', que está diseñado para el robo y el cifrado de datos. Según prometen, no intentan 'hackear' centros sanitarios, educativos, organizaciones sin ánimo de lucro o gobiernos . Van a por las grandes compañías y sostienen que no quieren «matar el negocio de nadie». «Llama la atención. Se presentan como un grupo con cierta ética. Aunque otra forma de verlo es que, efectivamente, estudian muy bien a quien atacan para conseguir el mayor rédito posible», destaca en conversación con ABC José de la Cruz, director de tecnología de la firma de ciberseguridad Trend Micro.

Cada ataque realizado con el código realizado por DarkSide puede conseguir unos ingresos que se mueven entre los 200.000 dólares y los 2 millones . Asimismo, el grupo afirma haber realizado pagos a obras benéficas con dinero conseguido mediante los ciberataques en los que que participa.

Como recoge el medio Bleeping Computer , en octubre del año pasado donó 20.000 dólares en bitcoins a Children Internation y The Water Project . «Como dijimos en el primer comunicado de prensa, estamos apuntando solo a las grandes corporaciones rentables. Creemos que es justo que parte del dinero que han pagado se destine a obras de caridad. No importa lo malo que crea que es nuestro trabajo, nos complace saber que ayudamos a cambiar la vida de alguien», afirmó DarkSide en una publicación realizada en su blog, ubicado en la 'dark web'. Sin embargo, tras la declaración las dos empresas terminaron devolviendo el dinero.

«Es curioso que este tipo de grupos que, al final, tienen un interés económico tan grande puedan realizar este tipo de donaciones. Pero no dejan de ser empresas que se dedican al cibercrimen», completa el director de tecnología de Trend Micro.

Por su parte, Corey Nachreiner, director general de seguridad de la firma WatchGuard Technologies, destaca a este diario que 20.000 dólares no es prácticamente nada para un grupo como DarkSide : «Apenas representan una fracción de los millones que estos actores de la amenaza piden en pagos por el rescate. Se están manteniendo a sí mismos mucho más que a cualquier organización benéfica, y siguen siendo criminales independientemente de cualquier pequeña acción que puedan realizar para compensar. En mi opinión, estas donaciones son simplemente una estratagema para quedar bien con el público en general y distraer la atención de sus egoístas y dañinas actividades delictivas».

DarkSide entiende el 'ransomware' como un servicio ; lo que implica que, en el fondo, es un proveedor. Ha desarrollado un código que lleva su nombre y que está en alquiler en la 'dark web' para que sus afiliados lo utilicen en ataques a cambio de una parte de las ganancias que genere. «Este tipo de desarrolladores de código no solo ofrecen 'malware' (virus informático), también ofrecen soporte técnico y modifican sus herramientas para que no sean detectadas por la víctima durante el mayor tiempo posible. Es toda una industria. No son cuatro locos ocultos en un garaje de Europa del Este. Lo tienen todo muy profesionalizado y tienen un programa con afiliados que son los encargados de lanzar el ataque», señala a este periódico Josep Albors, jefe de investigación y concienciación de la empresa de ciberseguridad ESET.

Después del ataque contra Colonial Pipeline, que ha puesto en 'jaque' la distribución de combustible en Estados Unidos, DarkSide realizó otro 'comunicado' en el que afirmaba que es un grupo «apolítico» y que no participa en acciones a favor de un gobierno en concreto. Asimismo, anunció que va a tomar medidas para que su código no sea empleado en campañas como la que ha tenido lugar en el país norteamericano : «Nuestro objetivo es ganar dinero y no crear problemas para la sociedad. A partir de hoy introducimos la moderación y comprobamos cada empresa que nuestros socios quieren cifrar para evitar consecuencias sociales en el futuro».