El grupo de ciberdelincuentes que opera el ransomware DarkSide puede haber ganado no menos de $ 90 millones con sus actividades, dicen los expertos de la empresa Crystal Blockchain. Anunciaron el descubrimiento de una dirección de bitcoin utilizada por el grupo de ransomware cibernético DarkSide para obtener el rescate de Colonial Pipeline. La semana pasada, el gigante estadounidense de combustibles Colonial Pipeline tuvo que suspender sus operaciones durante seis días debido a un ataque cibernético del ransomware DarkSide. El 8 de mayo, la compañía pagó a los ciberdelincuentes 75 bitcoins (alrededor de $ 5 millones) y pronto pudo comenzar a restaurar el servicio.
La empresa de seguridad de la información Elliptic también pudo identificar la dirección de la billetera DarkSide, pero decidió no publicarla. Crystal Blockchain no vio ninguna razón para ocultarlo al público y dio la dirección a los lectores de CoinDesk. Según Kyrylo Chykhradze, director de producto de Crystal Blockchain, hay varios hechos que indican que DarkSide utilizó esta dirección en particular para obtener el rescate de sus víctimas.
“Identificamos transacciones en la cadena de bloques sabiendo la fecha de la transacción y el monto enviado. Analizamos cada grupo potencial (direcciones) y encontramos evidencia adicional en uno: una transacción de $ 4,4 millones o 78 BTC enviada por la empresa de distribución de productos químicos Brenntag ”, dijo Chikhradze.
Brenntag, otra víctima de DarkSide, pagó el rescate el 11 de mayo. Elliptic también citó esta transacción como evidencia adicional que apunta a direcciones de bitcoin vinculadas a piratas informáticos. Otra evidencia citada por Elliptic y Crystal: la última transacción que involucró estas direcciones tuvo lugar el jueves 13 de mayo, el día en que la facción DarkSide perdió el acceso a sus servidores.
Según Crystal Blockchain, el clúster DarkSide incluía 30 direcciones, a las que se han transferido un total de 321,5 bitcoins desde la primera transacción el 4 de marzo. Todos estos fondos finalmente abandonaron el clúster, y la mayor cantidad se envió al intercambio de criptomonedas Binance ( más de 53,3 bitcoins, o el 16% de todos los fondos).
El segundo mayor receptor de fondos es el mercado clandestino Hydra, que recibió más de 14,6 bitcoins (4,5% de los fondos) de las carteras DarkSide. Hydra es el mercado de drogas más grande del mundo, opera principalmente en Rusia y Europa del Este.
Otros destinatarios de los fondos de DarkSide incluyen intercambios poco conocidos como Ren, Zillion Bits, así como el intercambio centralizado Poloniex en los EE. UU. Y Garantex en Estonia. También se han enviado cantidades más pequeñas a otros intercambios importantes y plataformas de criptografía de extremo a extremo conocidas, incluidas Coinbase, Huobi, OKEx, Paxful y LocalBitcoins. Una cantidad relativamente pequeña terminó en una billetera segura de Wasabi.
La última transacción que involucró a los grupos de direcciones mencionados ocurrió el 13 de mayo, cuando se enviaron 107 bitcoins a una única dirección desconocida que estuvo activa solo por un día y recibió solo tres transacciones entrantes. Actualmente, 107 bitcoins por valor de más de $ 4.5 millones aún se encuentran en esta cartera, cuyo propietario se desconoce.
Fuente: CisoAdvisor
