Gli hacker di DarkSide hanno rastrellato oltre $ 90 milioni in Bitcoin

Il gruppo ransomware DarkSide, che si pensa sia dietro gli attacchi all'oleodotto coloniale, ha guadagnato circa 90 milioni di dollari in Bitcoin da 47 vittime.

Secondo Tom Robinson, co-fondatore e capo scienziato della società di sicurezza informatica Elliptic, le vittime hanno pagato poco più di $ 90 milioni in pagamenti di riscatto Bitcoin a DarkSide, provenienti da 47 portafogli distinti. Secondo DarkTracer, il ransomware DarkSide ha infettato 99 organizzazioni, il che suggerisce che circa il 47% delle vittime ha pagato un riscatto e il pagamento medio è stato di $ 1,9 milioni.

"Per quanto ne sappiamo, questa analisi include tutti i pagamenti effettuati a DarkSide, tuttavia potrebbero essere ancora scoperte ulteriori transazioni e le cifre qui dovrebbero essere considerate un limite basso", ha affermato Robinson.

Le bande di criminali informatici come DarkSide hanno stabilito un modello di business ransomware-as-a-service in cui sviluppano il malware ma consentono ad altri hacker di violare le vittime. DarkSide divide quindi i proventi tra sé e i suoi affiliati.

Nel caso di DarkSide, secondo quanto riferito, lo sviluppatore prende il 25% per riscatti inferiori a $ 500.000, ma questo diminuisce al 10% per riscatti superiori a $ 5 milioni.

L'analisi blockchain chiarisce la divisione del denaro, con le diverse azioni che separano i portafogli Bitcoin controllati dall'affiliato e dallo sviluppatore.

Robinson ha affermato che lo sviluppatore di DarkSide ha ricevuto Bitcoin per un valore di $ 15,5 milioni (17%), mentre i restanti $ 74,7 milioni (83%) sono andati ai vari affiliati.

Ulteriori analisi hanno permesso all'azienda di vedere dove veniva spesa o scambiata la criptovaluta. La maggior parte dei fondi sono stati inviati a scambi di criptovalute, dove possono scambiarli con altri criptovalute o valuta fiat, ha affermato Robinson.

Robinson ha affermato che la maggior parte degli scambi di criptovalute è conforme alle normative antiriciclaggio (AML), verifica l'identità dei clienti e segnala attività sospette, come i proventi del ransomware.

"Tuttavia, alcune giurisdizioni non applicano queste normative ed è agli scambi in queste località che viene inviata gran parte dei proventi del ransomware DarkSide", ha affermato Robinson.

Il gruppo ransomware DarkSide, che si ritiene abbia sede nell'Europa orientale o in Russia, si è recentemente sciolto dopo ulteriori indagini da parte delle forze dell'ordine statunitensi. Un'e-mail agli affiliati di DarkSide diceva che stava chiudendo i negozi "a causa della pressione degli Stati Uniti".

Tuttavia, è stato detto che molte bande criminali si stanno sciogliendo solo per riapparire settimane o mesi dopo con un nuovo nome.