A DarkSide Group kiszolgáló leállításai által megütve
A DarkSide a rossz színész entitás, amely a DarkSide ransomware-as-a-service műveletet futtatja. A DarkSide felelős a múlt héten lezajlott két fő ransomware támadásért. Az egyik célzott amerikai üzemanyag-szállító Colonial Pipeline 5 millió dolláros váltságdíjat eredményezett. A másik a Toshiba vállalat európai fiókjait célozta meg. E sikeres támadások nyomán a DarkSide bejelentette, hogy mára elveszítette hozzáférését szervereinek jelentős részéhez.
A DarkSide csoport hűségesen tett ígéretéhez, hogy átlátható marad a weboldalán, és tájékoztatja potenciális bűnözőit az ügyek állásáról, és bejelentette, hogy már nincs hozzáférése a blogjáért, a fizetési feldolgozásért és a DoS infrastruktúráért felelős szerverekhez. A bejelentést egy sötét webes fórumon tették meg, és úgy tűnik, hogy a DarkSide hardverét lefoglalták.
Természetesen a fenyegetés szereplője nem említette, hogy a lefoglalt szerverek melyik országban találhatók, illetve melyik ország hatóságai voltak felelősek az eltávolításért. Ugyanez a közlemény kijelentette, hogy a leányvállalatokból származó pénzeket és a DarkSide általi csökkentését mind "ismeretlen számlára" utalták.
Ez nagy hír, ha figyelembe vesszük, hogy a ransomware milyen nagy támadásokat hajtott végre a csoport nagyon rövid idő alatt. A DarkSide korábban azzal fenyegetőzött, hogy már megtámadott még egy maroknyi áldozatot, valószínűleg a Toshiba is ezek közé tartozik. Meg kell nézni, hogy a támadások hátralévő része gyümölcsözővé válik-e.
A DarkSide szerver eltávolítása hullámzó hatással volt a szélesebb földalatti hacker közösségre. A Threatpost jelentése szerint számos földalatti hacker fórum azonnal intézkedett, és törölte az összes, a ransomware-hez kapcsolódó bejegyzést és témát.
Biztonsági kutatók azt is felfedezték, hogy a REvil, egy másik fenyegetésszerző, amely egy ransomware-as-a-service műveletet hajt végre, számos új korlátozást vezetett be jövőbeni ransomware-licenceseivel szemben. A REvil nem hajtja végre a partnerek „előzetes moderálását”. A fenyegetési csoport kifejezetten kijelentette, hogy leállítja azokat a kísérleteket, hogy a ransomware-t harmadik felek bármely kormányzati, közéleti, egészségügyi vagy oktatási szervezetnél felhasználják.
Ez részben összhangban van a DarkSide saját politikájával, mivel a DarkSide-nek furcsa magatartási kódexe van, amely megfogadta, hogy soha nem támadja meg az egészségügyi vagy oktatási intézményeket.
Az Avaddon ransomware-t üzemeltető másik ransomware-banda szintén közleményeket adott ki, miszerint minden olyan ransomware-lencense-nek, aki ki akarja használni a csoport ransomware-eszköztárát, először össze kell hangolnia a célpontokat a csoport felső rézével.
A ZDNet arról számolt be, hogy egy orosz nyelvű bejegyzéseket tartalmazó nagy számítógépes bűnözői fórum eltávolította az összes DarkSide bejegyzést az oldalairól, és betiltotta a DarkSide csoporttal kapcsolatos további beszélgetéseket és bejegyzéseket. Nincs pontos információ arról, hogy mi történt pontosan a DarkSide szervereivel, de úgy tűnik, hogy a letörlés üzenetet küldött más ransomware csoportoknak és hackereknek szerte a világon.