DarkSide-gruppe ramt af servernedlukninger

DarkSide er den dårlige skuespiller enhed, der kører DarkSide ransomware-as-a-service-operationen. DarkSide er ansvarlige for de to store ransomware-angreb, der fandt sted lige i sidste uge. En målrettet amerikansk brændstofleverandør Colonial Pipeline og resulterede i en løsesumudbetaling på 5 millioner dollars. Den anden var rettet mod de europæiske filialer af Toshiba-selskabet. I kølvandet på disse vellykkede angreb meddelte DarkSide, at det nu har mistet adgang til en betydelig del af sine servere.

DarkSide-gruppen, der var tro mod sit løfte om at forblive gennemsigtig på sin webside og informere sine potentielle kriminelle kunder om situationen, meddelte, at den ikke længere havde adgang til de servere, der var ansvarlige for sin blog, dens betalingsbehandling og DoS-infrastruktur. Meddelelsen blev foretaget på et mørkt webforum, og det ser ud til, at DarkSides hardware er blevet beslaglagt.

Naturligvis nævnte trusselsaktøren ikke, hvilket land de beslaglagte servere var placeret, eller hvilket lands myndigheder der var ansvarlige for fjernelsen. Den samme meddelelse sagde, at pengene fra tilknyttede job og DarkSides nedskæring af det hele er flyttet til en "ukendt konto".

Dette er stor nyhed i betragtning af hvilke større ransomware-angreb gruppen trak ud på meget kort tid. DarkSide havde tidligere truet med, at det allerede havde angrebet en anden håndfuld ofre, hvor Toshiba sandsynligvis var en af dem. Det er tilbage at se, om resten af angrebene kommer til frugt.

Fjernelse af DarkSide-serveren havde en krusningseffekt på det bredere underjordiske hackersamfund. Threatpost rapporterer, at et antal underjordiske hackerfora tog øjeblikkelig handling og slettede alle indlæg og emner relateret til ransomware.

Sikkerhedsforskere opdagede også, at REvil, en anden trusselsaktør, der driver en ransomware-as-a-service-operation, indførte en række nye begrænsninger for sine fremtidige ransomware-licenshavere. REvil udfører ikke "præ-moderering" af sine partnere. Trusselgruppen erklærede også eksplicit, at den vil stoppe ethvert forsøg på at få brugt sin ransomware af tredjeparter på offentlige, offentlige, sundheds- eller uddannelsesmæssige enheder.

Dette er delvist i tråd med DarkSides egen politik, da DarkSide har en underlig adfærdskodeks, der har lovet aldrig at angribe sundheds- eller uddannelsesinstitutioner.

En anden ransomware-bande, der driver Avaddon-ransomware, udsendte også meddelelser om, at alle ransomware-lincensees, der ønsker at gøre brug af gruppens ransomware-værktøjssæt, først skal koordinere deres mål med gruppens øverste messing.

ZDNet rapporterede, at et stort cyberkriminelt forum, der indeholder indlæg på russisk, har fjernet alle DarkSide-indlæg fra sine sider og har forbudt enhver yderligere diskussion og indlæg om DarkSide-gruppen. Der er ingen hårde oplysninger om, hvad der præcist skete med DarkSides servere, men det ser ud til, at fjernelsen sendte en besked til andre ransomwaregrupper og hackere over hele verden.