DarkSide, il gruppo di hacker dietro il recente attacco ransomware a danno della compagnia statunitense di gasdotti Colonial Pipeline, operazione che ha fruttato loro 5 milioni di dollari in bitcoin, prima ancora all’industria chimica tedesca Brenntag – valore del riscatto 4.4 milioni di dollari – alla Companhia Paranaense de Energia (Copel) e a decine di altre società, ha fatto guadagnare ai cybercriminali l’ingente bottino di 90 milioni di dollari in soli 9 mesi.
È quel che emerge dalla ricostruzione offerta dal portale Elliptic, una delle più importanti aziende specializzate nell’analisi della blockchain ai fini della normativa antiriciclaggio, i cui servizi sono stati spesso adoperati dalle forze dell’ordine nelle operazioni di contrasto al finanziamento del terrorismo.
Il report parla di circa 90 milioni di dollari ricevuti da 47 diversi wallet a partire dall’ottobre del 2020 e, dal momento che quasi un centinaio sono le aziende che hanno subito un attacco da parte di Darkside, se ne deduce che solo la metà di esse ha effettivamente pagato il riscatto, mediamente stimato a 1.9 milioni di dollari.
Un precedente studio di FireEye sul programma di affiliazione di Darkside aveva concluso che, essendo un servizio di ransomware-as-a-service (RaaS), il profitto viene sparito tra i vari soggetti ma non in parti uguali.
Difatti i suoi sviluppatori prendono una parcella del 25% per i pagamenti inferiori a $ 500.000 e del 10% per riscatti superiori a $ 5 milioni, con la parte del leone che viene fatta dai partner in quanto sono loro che fanno il grosso del lavoro: violano le reti delle vittime, rubano i dati e distribuiscono il malware, motivo per cui spetta loro tra il 75 ed il 90% degli introiti di ciascuna operazione.
Una ripartizione molto chiara andando ad analizzare i movimenti sul wallet di DarkSide.
Con $ 90 milioni di riscatti in un periodo di nove mesi, DarkSide si colloca tra i gruppi di ransomware più redditizi subito dietro a Ryuk e GranCrab, che hanno almeno $150 milioni ciascuno, REvil, che in un anno ha accumulato $ 100 milioni, e Maze/Egregor che in soli quattro mesi ha ricevuto oltre $ 63 milioni.
Sembra però che le cose non stiano più andando bene per gli appartenenti al sodalizio: poche settimane fa, quasi contestualmente al disimpiego dal loro programma di affiliazione Ransomware-as-a-Service, i loro server sono stati sequestrati dalle forze dell’ordine statunitensi per ordine del Presidente americano Biden ed il loro portafoglio di bitcoin è stato improvvisamente svuotato da un account sconosciuto.
