O grupo de cibercriminosos que opera o ransomware DarkSide pode ter faturado nada menos do que US$ 90 milhões com suas atividades, dizem especialistas da empresa Crystal Blockchain. Eles anunciaram a descoberta de um endereço de bitcoin usado pelo grupo de ransomware cibernético DarkSide para obter o resgate da Colonial Pipeline. Na semana passada, a gigante americana de combustível Colonial Pipeline teve de suspender suas operações por seis dias devido a um ataque cibernético do ransomware DarkSide. Em 8 de maio, a empresa pagou aos cibercriminosos 75 bitcoins (cerca de US$ 5 milhões) e logo depois pôde começar a restaurar o serviço.
A empresa de segurança da informação Elliptic também conseguiu identificar o endereço da carteira do DarkSide, mas decidiu não publicá-la. A Crystal Blockchain não viu nenhuma razão para ocultá-la do público e deu o endereço aos leitores do CoinDesk. De acordo com Kyrylo Chykhradze, diretor de produto da Crystal Blockchain, há vários fatos indicando que esse endereço em particular foi usado pelo DarkSide para obter resgate de suas vítimas.
“Identificamos transações no blockchain sabendo a data da transação e o valor enviado. Analisamos cada cluster potencial (endereços) e encontramos evidências adicionais em um deles: uma transação de US$ 4,4 milhões ou 78 BTC enviada pela empresa de distribuição de produtos químicos Brenntag ”, disse Chikhradze.
Veja isso
Grupo Moura é vítima do ransomware DarkSide
Ransomware russo derruba maior oleoduto dos EUA
A Brenntag, outra vítima do DarkSide, pagou o resgate em 11 de maio. A Elliptic também citou esta transação como evidência adicional apontando para endereços bitcoin ligados a hackers. Outra evidência citada pela Elliptic e pela Crystal: a última transação envolvendo esses endereços ocorreu na quinta-feira, 13 de maio, o dia em que a facção DarkSide perdeu o acesso a seus servidores.
De acordo com a Crystal Blockchain, o cluster do DarkSide incluía 30 endereços, para os quais um total de 321,5 bitcoins foram transferidos desde a primeira transação em 4 de março. Todos esses fundos eventualmente deixaram o cluster, com a maior quantia enviada para a bolsa de criptomoedas Binance (mais de 53,3 bitcoins, ou 16% de todos os fundos).
O segundo maior recebedor de fundos é o mercado underground Hydra, que recebeu mais de 14,6 bitcoins (4,5% dos fundos) das carteiras do DarkSide. Hydra é o maior mercado de drogas do mundo, operando principalmente na Rússia e no Leste Europeu.
Outros destinatários dos fundos DarkSide incluem exchanges pouco conhecidas como Ren, Zillion Bits, bem como a bolsa centralizada Poloniex nos EUA e Garantex na Estônia. Quantias menores também foram enviadas para outras bolsas importantes e plataformas de criptografia ponto a ponto bem conhecidas, incluindo Coinbase, Huobi, OKEx, Paxful e LocalBitcoins. Uma quantia relativamente pequena acabou em uma carteira segura do Wasabi.
A última transação envolvendo os clusters de endereços mencionados ocorreu em 13 de maio, quando 107 bitcoins foram enviados para um único endereço desconhecido que esteve ativo por apenas um dia e recebeu apenas três transações de entrada. Atualmente 107 bitcoins no valor de mais de US$ 4,5 milhões ainda estão nesta carteira, cujo dono é desconhecido.
Com agências de notícias internacionais