Andrew E. Kramer es un reportero de la oficina de Moscú de The New York Times. Anteriormente trabajó para The Associated Press en Portland, Oregon; para The Washington Post; para The San Francisco Chronicle; y para The Ukiah Daily Journal, con sede en Ukiah, California.

Michael Schwirtz es reportero de investigación de The New York Times. Trabajó para The Times, y fue parte de un equipo galardonado que informó sobre la brutalidad y la corrupción en el sistema penitenciario del estado de Nueva York y en Rikers Island en la ciudad de Nueva York. Fue reportero principal de un equipo que ganó el Premio Pulitzer 2020.

Anton Troianovski llegó a Moscú en enero de 2018 como jefe de la oficina de The Washington Post. Pasó nueve años en The Wall Street Journal. Estuvo en Berlín de 2013 a 2017 y cubrió dos elecciones alemanas, dos Juegos Olímpicos, la crisis de Ucrania, la migración y la política populista en Europa.

La base de la industria del software de secuestro son los ataques contra empresas y el robo de valiosa información digital, esto genera millones de dólares anuales. Los expertos creen que organizaciones radicadas en Rusia están detrás de esas prácticas delictivas. DarkSide atacó una pequeña casa editorial del Medio Oeste estadounidense semanas antes de que atacara el oleoducto Pipeline de en mayo de 2021.

Un hacker que usaba el nombre de Woris trabajaba con DarkSide, juntos lanzaron ataques destinados a cerrar los sitios web de la editorial. La editorial trabajaba con clientes que laboran en educación primaria. DarkSide amenazó con contactar a los clientes de la editorial y decirles que su información podría ser usada por pedófilos para entrar a escuelas. Woris consideró la estrategia como un detalle especial y se los hizo saber a DarkSide mediante un chat secreto.

El ataque de DarkSide contra el oleoducto los lanzó a la escena mundial y los puso en el centro de la opinión pública. DarkSide ha tenido un rápido crecimiento, lo que demuestra que organizaciones criminales pequeñas y atacantes con habilidades computacionales poco sofisticadas pueden ser una potencial amenaza para la seguridad nacional.

Los criminales de antes tenían que usar juegos psicológicos, pero ahora cualquiera puede obtener un programa de secuestros y cargarlo a un sistema computacional comprometido gracias a trucos aprendidos en YouTube o con ayuda de grupos como DarkSide. Serguéi Pavlovich, quien estuvo preso en Bielorrusia por cibercrímenes, dijo que “ahora cualquier tarado puede ser un ciberdelincuente”. Las comunicaciones secretas previas al ataque del oleoducto muestran una operación criminal en crecimiento con la cual obtienen millones de dólares en pagos cada mes.

DarkSide ofrece un “programa de secuestro como un servicio”, en el que un desarrollador de software maligno cobra una cuota de usuario a los afiliados. Los servicios de DarkSide incluyen proveer soporte técnico a los hackers, negociar con objetivos, procesar los pagos y desarrollar campañas de presión a la medida a través del chantaje y otros medios, tales como hackeos secundarios para hacer caer sitios web. La empresa tuvo dificultades al inicio como una plataforma difícil de usar y que hacía que se gastara tiempo.

El Times obtuvo acceso al “tablero” interno que los clientes de DarkSide usaron para organizar y realizar ataques de secuestro. La información usada para iniciar sesión fue proporcionada por un ciberdelincuente a través de un intermediario. La pandilla se comunica en ruso en el tablero. El tablero daba acceso a los usuarios a la lista de objetivos, a un cintillo que corría en la pantalla con las ganancias y a una conexión con el personal de atención a clientes del grupo con el cual los afiliados podían crear estrategias para ganar dinero.

Un reportero de el Times inició sesión el 20 de mayo de 2021 y el tablero aún operaba. El reportero se identificó como un periodista durante su ingreso y de inmediato su cuenta fue bloqueada. El negocio de DarkSide estaba en auge desde antes del ataque a Colonial Pipeline. DarkSide se fundó en agosto de 2020 y tiene grandes ganancias debido a que en los últimos años los cibercriminales clandestinos que operan en ruso se han multiplicado. El crecimiento de estos grupos criminales se ha impulsado por el ascenso de criptomonedas que han dejado de lado el uso de mulas de dinero.

El software de secuestro se ha convertido en un negocio organizado y altamente segmentado en los últimos años. La estructura organizacional de la industria rusa de cibersecuestro asemeja franquicias como McDonald’s o Hertz. El Times no adquirió el software de DarkSide, pero la editorial dio una descripción de cómo operan. La víctima ve al principio una carta de secuestro con instrucciones y amenazas amables como “Bienvenido a DarkSide”. Más tarde, las víctimas son dirigidas a un sitio web en donde deben ingresar una clave especial. La carta deja en claro que pueden llamar a un equipo de soporte técnico si necesitan ayuda.

El software de DarkSide bloquea los sistemas informáticos de las víctimas y roba datos personales. Los delincuentes exigen pagos por desbloquear los sistemas y para mantener la información privada. Woris y DarkSide elaboraron el plan para chantajear a la editorial. Ellos redactaron una carta de chantaje para enviarla a los funcionarios de escuelas y a los padres que eran clientes de la empresa.

DarkSide introdujo en abril de 2021 un servicio con el cual los hackers sobrecargan la red de una empresa con pedidos falsos. La editorial se negó a pagar el rescate en marzo de 2021 y DarkSide se molestó por lo que amenazó con filtrar más noticias sobre el ataque con el programa de secuestro. Los criminales anunciaron que ignorar no era una buena estrategia para las víctimas. El tablero tenía una lista de reglas donde se prohibían ataques contra objetivos educacionales, médicos o gubernamentales. DarkSide intentaba ser cortés en sus comunicaciones y esperaban lo mismo de los hackers que utilizaban su servicio.

DarkSide dijo que ofender o ser grosero con las víctimas sin razón está prohibido. Las personas que vivan en la Comunidad de Estados Independientes están estrictamente prohibidas. Las autoridades rusas han dejado en claro que rara vez procesarán judicialmente a ciberdelincuentes por ataque con software de secuestro y otros crímenes fuera de Rusia. Expertos afirman que Rusia se ha convertido en un centro global de ataques con programas de secuestro. Smilyanets, antiguo hacker ruso, dijo que Rusia se ha convertido en un invernadero para estos delincuentes porque se creó una atmósfera donde se sentían muy bien y podían prosperar por la inmunidad de la ley.

Vladimir Putin respondió en 2018 al periodista estadounidense Megyn Kelly que si los ciberdelincuentes no violaban la ley rusa no debían ser procesados en Rusia. Putin se molestó porque dejó en claro que los rusos no deben vivir bajo las leyes estadounidenses sino las rusas. Joe Biden anunció que tenía pruebas de que habían hackers rusos detrás del ataque al oleoducto Colonial Pipeline, sin embargo, no habían encontrado un vínculo con el gobierno ruso, a pesar de ello creía que Rusia debía hacerse responsable de esos actos.

DarkSide atribuyó las dificultades que tuvo con su sistema a la presión ejercida por Estados Unidos tras el ataque al oleoducto Colonial Pipeline. Woris se comunicó con DarkSide días después de que el FBI identificó al grupo como el responsable del ataque y fue la última comunicación que tuvo con el grupo. DarkSide mandó un mensaje días después al tablero anunciando que venderían la infraestructura para que otros hackers pudieran continuar con el negocio. Finalmente, anunciaron que el precio era negociable.