DarkSide-Gruppe von Server-Shutdowns betroffen

DarkSide ist die Entität mit schlechten Akteuren, die die DarkSide-Ransomware-as-a-Service-Operation ausführt. DarkSide ist für die beiden großen Ransomware-Angriffe verantwortlich, die erst letzte Woche stattgefunden haben. Ein US-amerikanischer Kraftstoffversorger, Colonial Pipeline, führte zu einer Lösegeldauszahlung von 5 Millionen US-Dollar. Die andere richtete sich an die europäischen Niederlassungen der Toshiba Corporation. Nach diesen erfolgreichen Angriffen gab DarkSide bekannt, dass es nun den Zugriff auf einen beträchtlichen Teil seiner Server verloren hat.

Die DarkSide-Gruppe, die ihrem Versprechen treu blieb, auf ihrer Website transparent zu bleiben und ihre potenziellen kriminellen Kunden über den Stand der Dinge zu informieren, gab bekannt, dass sie keinen Zugriff mehr auf die Server hat, die für ihren Blog, ihre Zahlungsabwicklung und ihre DoS-Infrastruktur verantwortlich sind. Die Ankündigung wurde in einem dunklen Webforum gemacht und es scheint, dass die Hardware von DarkSide beschlagnahmt wurde.

Natürlich erwähnte der Bedrohungsakteur nicht, in welchem Land sich die beschlagnahmten Server befanden oder welche Behörden des Landes für die Abschaltung verantwortlich waren. Dieselbe Ankündigung besagte, dass das Geld aus Affiliate-Jobs und DarkSides Kürzung auf ein "unbekanntes Konto" verschoben wurde.

Dies ist eine große Neuigkeit, wenn man bedenkt, welche großen Ransomware-Angriffe die Gruppe in sehr kurzer Zeit ausgeführt hat. DarkSide hatte zuvor gedroht, bereits eine weitere Handvoll Opfer angegriffen zu haben, wobei Toshiba wahrscheinlich eines davon war. Es bleibt abzuwarten, ob der Rest der Angriffe Früchte tragen wird.

Die Abschaltung des DarkSide-Servers hatte einen Welleneffekt auf die breitere unterirdische Hacker-Community. Threatpost berichtet, dass eine Reihe von Underground-Hacker-Foren sofort Maßnahmen ergriffen und alle Posts und Themen im Zusammenhang mit Ransomware gelöscht haben.

Sicherheitsforscher stellten außerdem fest, dass REvil, ein weiterer Bedrohungsakteur, der eine Ransomware-as-a-Service-Operation ausführt, seinen zukünftigen Ransomware-Lizenznehmern eine Reihe neuer Einschränkungen auferlegte. REvil wird keine "Vormoderation" seiner Partner durchführen. Die Bedrohungsgruppe erklärte außerdem ausdrücklich, dass sie jegliche Versuche einstellen werde, ihre Ransomware von Dritten in Regierungs-, öffentlichen, Gesundheits- oder Bildungseinrichtungen verwenden zu lassen.

Dies steht teilweise im Einklang mit der eigenen Richtlinie von DarkSide, da DarkSide einen seltsamen Verhaltenskodex hat und sich geschworen hat, niemals Gesundheits- oder Bildungseinrichtungen anzugreifen.

Eine andere Ransomware-Gruppe, die die Avaddon-Ransomware betreibt, gab ebenfalls bekannt, dass alle Ransomware-Lizenznehmer, die das Ransomware-Toolkit der Gruppe verwenden möchten, ihre Ziele zuerst mit dem obersten Messing der Gruppe koordinieren müssen.

ZDNet berichtete, dass ein großes Forum für Cyberkriminelle, das Beiträge in russischer Sprache enthält, alle DarkSide-Beiträge von seinen Seiten entfernt und weitere Diskussionen und Beiträge über die DarkSide-Gruppe verboten hat. Es gibt keine genauen Informationen darüber, was genau mit den DarkSide-Servern passiert ist, aber es scheint, dass der Takedown eine Nachricht an andere Ransomware-Gruppen und Hacker auf der ganzen Welt gesendet hat.