DarkSide Group Hit by Server Shutdowns

Το DarkSide είναι η οντότητα κακού ηθοποιού που εκτελεί τη λειτουργία ransomware DarkSide ως υπηρεσία. Το DarkSide είναι υπεύθυνο για τις δύο μεγάλες επιθέσεις ransomware που έλαβαν χώρα την περασμένη εβδομάδα. Ένας στοχευμένος προμηθευτής καυσίμων των ΗΠΑ Colonial Pipeline και είχε ως αποτέλεσμα την πληρωμή λύτρων 5 εκατομμυρίων δολαρίων. Το άλλο απευθύνεται στα ευρωπαϊκά υποκαταστήματα της εταιρείας Toshiba. Μετά από αυτές τις επιτυχείς επιθέσεις, το DarkSide ανακοίνωσε ότι έχει χάσει την πρόσβαση σε ένα μεγάλο μέρος των διακομιστών του.

Η ομάδα DarkSide, πιστή στην υπόσχεσή της να παραμείνει διαφανής στον ιστότοπό της και να ενημερώσει τους πιθανούς εγκληματικούς πελάτες της για την κατάσταση, ανακοίνωσε ότι δεν είχε πλέον πρόσβαση στους διακομιστές που είναι υπεύθυνοι για το ιστολόγιό του, την επεξεργασία πληρωμών και την υποδομή DoS. Η ανακοίνωση έγινε σε ένα φόρουμ σκοτεινού Ιστού και φαίνεται ότι το υλικό του DarkSide έχει κατασχεθεί.

Φυσικά, ο ηθοποιός απειλής δεν ανέφερε ποια χώρα βρίσκονταν οι κατασχεθέντες διακομιστές ή ποιες αρχές της χώρας ήταν υπεύθυνες για την κατάργηση. Η ίδια ανακοίνωση ανέφερε ότι τα χρήματα από δουλειές θυγατρικών και η περικοπή του DarkSide έχουν μεταφερθεί σε έναν "άγνωστο λογαριασμό".

Αυτά είναι μεγάλα νέα, λαμβάνοντας υπόψη τις μεγάλες επιθέσεις ransomware που αποσύρθηκαν από την ομάδα σε πολύ σύντομο χρονικό διάστημα. Το DarkSide είχε προηγουμένως απειλήσει ότι είχε ήδη επιτεθεί σε μια άλλη χούφτα θυμάτων, με την Toshiba να είναι πιθανώς ένα από αυτά. Απομένει να δούμε αν τα υπόλοιπα των επιθέσεων θα υλοποιηθούν.

Η κατάργηση του διακομιστή DarkSide είχε επίδραση κυματισμού στην ευρύτερη κοινότητα υπόγειων χάκερ. Η Threatpost αναφέρει ότι ορισμένα φόρουμ υπόγεια χάκερ ανέλαβαν άμεση δράση και διέγραψαν όλες τις αναρτήσεις και τα θέματα που σχετίζονται με το ransomware.

Οι ερευνητές ασφαλείας ανακάλυψαν επίσης ότι η REvil, ένας άλλος παράγοντας απειλής που εκτελεί μια επιχείρηση ransomware-as-a-service, επέβαλε ορισμένους νέους περιορισμούς στους μελλοντικούς αδειούχους ransomware. Το REvil δεν θα εκτελεί "προ-εποπτεία" των συνεργατών του. Η ομάδα απειλών ανέφερε επίσης ρητά ότι θα σταματήσει κάθε προσπάθεια χρήσης του ransomware από τρίτους σε κυβερνητικούς, δημόσιους, υγειονομικούς ή εκπαιδευτικούς φορείς.

Αυτό είναι εν μέρει σύμφωνο με την πολιτική του DarkSide, καθώς το DarkSide έχει έναν περίεργο κώδικα συμπεριφοράς, αφού ορκίστηκε ποτέ να επιτεθεί σε υπηρεσίες υγείας ή εκπαιδευτικά ιδρύματα.

Μια άλλη συμμορία ransomware που διαχειρίζεται το ransomware Avaddon εξέδωσε επίσης ειδοποιήσεις ότι όλα τα lincensees ransomware που θέλουν να κάνουν χρήση της εργαλειοθήκης ransomware της ομάδας πρέπει πρώτα να συντονίσουν τους στόχους τους με τον κορυφαίο ορείχαλκο της ομάδας πρώτα.

Το ZDNet ανέφερε ότι ένα μεγάλο φόρουμ εγκλήματος στον κυβερνοχώρο που περιέχει αναρτήσεις στα ρωσικά έχει καταργήσει όλες τις αναρτήσεις του DarkSide από τις σελίδες του και έχει απαγορεύσει οποιαδήποτε περαιτέρω συζήτηση και δημοσιεύσεις σχετικά με την ομάδα DarkSide. Δεν υπάρχουν σκληρές πληροφορίες για το τι ακριβώς συνέβη με τους διακομιστές του DarkSide, αλλά φαίνεται ότι η κατάργηση έστειλε ένα μήνυμα σε άλλες ομάδες ransomware και χάκερ σε όλο τον κόσμο.