O grupo cibercriminoso que opera o ransomware DarkSide pode ter ganhado nada menos que US $ 90 milhões com suas atividades, dizem especialistas da empresa Crystal Blockchain. Eles anunciaram a descoberta de um endereço de bitcoin usado pelo grupo de ransomware cibernético DarkSide para obter o resgate do Pipeline Colonial. Na semana passada, a gigante americana de combustível Colonial Pipeline teve que suspender as operações por seis dias devido a um ataque cibernético do ransomware DarkSide. Em 8 de maio, a empresa pagou aos cibercriminosos 75 bitcoins (cerca de US $ 5 milhões) e logo pôde começar a restaurar o serviço.
A empresa de segurança da informação Elliptic também conseguiu identificar o endereço da carteira DarkSide, mas decidiu não publicá-lo. O Crystal Blockchain não viu motivo para escondê-lo do público e deu o endereço aos leitores do CoinDesk. De acordo com Kyrylo Chykhradze, Gerente de Produto da Crystal Blockchain, há vários fatos que indicam que DarkSide usou este endereço específico para obter resgate para suas vítimas.
“Identificamos as transações no blockchain sabendo a data da transação e o valor enviado. Analisamos cada grupo potencial (endereços) e encontramos evidências adicionais em um: uma transação de US $ 4,4 milhões ou 78 BTC enviada pela empresa de distribuição de produtos químicos Brenntag ”, disse Chikhradze.
Brenntag, outra vítima do DarkSide, pagou o resgate em 11 de maio. A Elliptic também citou essa transação como evidência adicional apontando para endereços bitcoin vinculados a hackers. Outras evidências citadas por Elliptic e Crystal: A última transação envolvendo esses endereços ocorreu na quinta-feira, 13 de maio, o dia em que a facção DarkSide perdeu o acesso a seus servidores.
De acordo com o Crystal Blockchain, o cluster DarkSide incluía 30 endereços, para os quais um total de 321,5 bitcoins foram transferidos desde a primeira transação em 4 de março. Todos esses fundos eventualmente deixaram o cluster, com a maior quantia sendo enviada para a criptomoeda Binance (mais de 53,3 bitcoins, ou 16% de todos os fundos).
O segundo maior recebedor de fundos é o mercado underground Hydra, que recebeu mais de 14,6 bitcoins (4,5% dos fundos) das carteiras DarkSide. Hydra é o maior mercado de medicamentos do mundo, operando principalmente na Rússia e no Leste Europeu.
Outros destinatários dos fundos DarkSide incluem bolsas pouco conhecidas, como Ren, Zillion Bits, bem como a bolsa centralizada Poloniex nos EUA e Garantex na Estônia. Quantias menores também foram enviadas para outras bolsas importantes e plataformas de criptografia de ponta a ponta bem conhecidas, incluindo Coinbase, Huobi, OKEx, Paxful e LocalBitcoins. Uma quantia relativamente pequena acabou em uma carteira segura do Wasabi.
A última transação envolvendo os grupos de endereços mencionados ocorreu em 13 de maio, quando 107 bitcoins foram enviados para um único endereço desconhecido que estava ativo por apenas um dia e recebeu apenas três transações. Atualmente, 107 bitcoins avaliados em mais de US $ 4,5 milhões ainda estão nesta carteira, cujo dono é desconhecido.
Fonte: CisoAdvisor