Los operadores del ransomware Darkside lanzan un programa de afiliados

Riesgos y amenazas emergentes sin confirmar

Descripción

 

Los operadores del ransomware Darkside han publicado en XSS.is y Exploit.in, dos de los mayores foros de ciberdelincuencia de habla rusa, un programa de afiliados para potenciar su herramienta de ransomware.

 

En estos programas, los operadores del ransomware facilitan el código del malware a cada uno de sus afiliados, dicho código incluye un ID único incrustado que identifica a cada afiliado dentro de la red, así por cada víctima que pague un rescate el afiliado se lleva una comisión.

 

Aunque en otros programas como en el de Sodinokibi/REvil se pague entre un 30% y un 40%, los términos del programa de afiliados de Darkside son diferentes y aseguran que "La media de los rescates son 400.000 dólares y se comparte con los afiliados entre un 10% y un 25%, dependiendo del tamaño del rescate, cuanto mayor sea el rescate pagado menor será el porcentaje para el afiliado y viceversa", también afirman que se puede negociar un porcentaje fijo.

 

Como prueba de su éxito y compromiso, Darkside ha depositado 20 bitcoins, aproximadamente 315.000 dólares, en el foro XSS. Se trata de una maniobra para demostrar que el negocio del ransomware es muy lucrativo.

 

Para pertenecer a este programa de afiliados es necesario facilitar la experiencia profesional, indicar si se ha tenido previamente trato con otros programas de afiliados de ransomware, indicar los baremos de las posibilidades de pago de tus objetivos y pasar una entrevista personal.

 

Como parte de los criterios de acceso se establece que los afiliados sean de habla rusa y que no sean ni del servicio secreto ni analistas de seguridad, entre otros requisitos.

 

Los proveedores del ransomware proporcionan, como parte del programa de afiliación, actualizaciones de las herramientas y una infraestructura que incluye un portal de autoservicio para que las víctimas paguen. Este modelo les permite centrarse en los ataques a las víctimas y en extender el malware creando más afiliados, evitando que los integrantes en el programa tengan que desarrollar y mantener su propia infraestructura y malware.

 

Darkside también establece ciertas normas a la hora de utilizar el malware, donde claramente se indican que su objetivo son empresas que puedan pagar fácilmente el rescate y que no tienen la intención de eliminarlas. Así mismo se establecen ciertos sectores a los que está prohibido atacar:

 

• Salud (Hospitales, residencias...)
• Educación (Colegios, universidades...)
• Organizaciones sin ánimo de lucro.
• Sector gubernamental.

 

Los programas de afiliados entre los operadores de ransomware cada vez son mas frecuentes, se conocen que por lo menos los siguientes operadores de ransomware tiene o han tenido un programa de afiliados:

 

• Avaddon
• Darkside
• LockBit
• Nettwalker
• Ranzy
• Sodinokibi/REvil
• Suncrypt
• Chimera
• CryLock
• Exorcist
• Gretta
• Makop
• Thanos
• Zeppelin

 

La utilización de este tipo de programas también tiene sus inconvenientes, se destacan dos principalmente: el reputacional y la infiltración. Con el primero es difícil controlar cuales son los objetivos de los ataques, aunque se hayan establecido ciertos sectores como intocables y eso afecta a la reputación del grupo. El segundo de los problemas se produce ya que al incorporar gente desconocida al programa de afiliados podrían tratarse de investigadores de seguridad encubiertos.