DarkSide Group Hit par les arrêts de serveur
DarkSide est la mauvaise entité d'acteur qui exécute l'opération DarkSide ransomware-as-a-service. DarkSide est responsable des deux principales attaques de ransomwares qui ont eu lieu la semaine dernière. Un fournisseur de carburant américain a ciblé Colonial Pipeline et a débouché sur une rançon de 5 millions de dollars. L'autre était destiné aux succursales européennes de Toshiba Corporation. À la suite de ces attaques réussies, DarkSide a annoncé qu'il avait désormais perdu l'accès à une partie importante de ses serveurs.
Le groupe DarkSide, fidèle à sa promesse de rester transparent sur son site internet et d'informer ses potentiels clients criminels de l'état des lieux, a annoncé ne plus avoir accès aux serveurs en charge de son blog, de son traitement des paiements et de l'infrastructure DoS. L'annonce a été faite sur un forum Web sombre et il semble que le matériel de DarkSide ait été saisi.
Naturellement, l'acteur de la menace n'a pas mentionné le pays dans lequel se trouvaient les serveurs saisis ni les autorités du pays responsables du retrait. La même annonce a déclaré que l'argent des emplois affiliés et la réduction de DarkSide de celui-ci a été transféré à un "compte inconnu".
C'est une grande nouvelle, compte tenu des principales attaques de ransomwares que le groupe a menées à bien en très peu de temps. DarkSide avait déjà menacé d'avoir déjà attaqué une autre poignée de victimes, Toshiba en faisant probablement partie. Il reste à voir si le reste des attaques portera ses fruits.
Le retrait du serveur DarkSide a eu un effet d'entraînement sur la communauté plus large des hackers clandestins. Threatpost rapporte qu'un certain nombre de forums de pirates clandestins ont pris des mesures immédiates et supprimé tous les messages et sujets liés aux ransomwares.
Les chercheurs en sécurité ont également découvert que REvil, un autre acteur de la menace qui exécute une opération de rançongiciel en tant que service, imposait un certain nombre de nouvelles restrictions à ses futurs titulaires de licence de ransomware. REvil n'effectuera pas de "pré-modération" de ses partenaires. Le groupe de menaces a également déclaré explicitement qu'il arrêterait toute tentative de faire utiliser son ransomware par des tiers sur des entités gouvernementales, publiques, sanitaires ou éducatives.
Ceci est en partie conforme à la politique de DarkSide, car DarkSide a un étrange code de conduite, ayant juré de ne jamais attaquer les établissements de santé ou d'enseignement.
Un autre gang de ransomwares exploitant le ransomware Avaddon a également émis des avis indiquant que tous les ransomwares qui souhaitent utiliser la boîte à outils de ransomware du groupe doivent d'abord coordonner leurs cibles avec les hauts dirigeants du groupe.
ZDNet a signalé qu'un grand forum cybercriminel contenant des messages en russe a supprimé tous les messages de DarkSide de ses pages et a interdit toute discussion et publication sur le groupe DarkSide. Il n'y a pas d'informations concrètes sur ce qui s'est passé exactement avec les serveurs de DarkSide, mais il semble que le retrait ait envoyé un message à d'autres groupes de ransomwares et pirates à travers le monde.
