Grupo DarkSide afectado por cierres de servidores
DarkSide es la entidad de mal actor que ejecuta la operación de ransomware como servicio DarkSide. DarkSide es responsable de los dos principales ataques de ransomware que tuvieron lugar la semana pasada. Uno de ellos se dirigió al proveedor de combustible estadounidense Colonial Pipeline y resultó en un pago de rescate de $ 5 millones. El otro estaba dirigido a las sucursales europeas de Toshiba Corporation. A raíz de esos ataques exitosos, DarkSide anunció que ahora ha perdido el acceso a una parte considerable de sus servidores.
El grupo DarkSide, fiel a su promesa de permanecer transparente en su sitio web e informar a sus potenciales clientes criminales sobre la situación, anunció que ya no tenía acceso a los servidores responsables de su blog, su procesamiento de pagos e infraestructura DoS. El anuncio se realizó en un foro de la web oscura y parece que se ha incautado el hardware de DarkSide.
Naturalmente, el actor de la amenaza no mencionó en qué país se encontraban los servidores incautados o qué autoridades del país eran responsables de la eliminación. El mismo anuncio declaró que el dinero de los trabajos de afiliados y la parte de DarkSide se ha movido a una "cuenta desconocida".
Esta es una gran noticia, considerando los principales ataques de ransomware que realizó el grupo en muy poco tiempo. DarkSide había amenazado anteriormente con que ya había atacado a otro puñado de víctimas, y Toshiba probablemente sea una de ellas. Queda por ver si el resto de los ataques fructificarán.
La eliminación del servidor DarkSide tuvo un efecto dominó en la comunidad de piratas informáticos clandestinos en general. Threatpost informa que varios foros clandestinos de piratas informáticos tomaron medidas inmediatas y eliminaron todas y cada una de las publicaciones y temas relacionados con el ransomware.
Los investigadores de seguridad también descubrieron que REvil, otro actor de amenazas que ejecuta una operación de ransomware como servicio, impuso una serie de nuevas restricciones a sus futuros licenciatarios de ransomware. REvil no realizará una "moderación previa" de sus socios. El grupo de amenazas también declaró explícitamente que detendrá cualquier intento de que terceros utilicen su ransomware en entidades gubernamentales, públicas, de salud o educativas.
Esto está en parte en línea con la propia política de DarkSide, ya que DarkSide tiene un código de conducta extraño, habiendo prometido nunca atacar a las instituciones educativas o de salud.
Otra banda de ransomware que opera el ransomware Avaddon también emitió avisos de que todos los usuarios de ransomware que quieran hacer uso del kit de herramientas de ransomware del grupo deben primero coordinar sus objetivos con los altos mandos del grupo.
ZDNet informó que un gran foro de ciberdelincuentes que contiene publicaciones en ruso ha eliminado todas las publicaciones de DarkSide de sus páginas y ha prohibido cualquier discusión y publicación adicional sobre el grupo DarkSide. No hay información concreta sobre qué sucedió exactamente con los servidores de DarkSide, pero parece que la eliminación envió un mensaje a otros grupos de ransomware y piratas informáticos de todo el mundo.
