Gruppo DarkSide colpito da arresti del server
DarkSide è l'entità cattivo attore che esegue l'operazione DarkSide ransomware-as-a-service. DarkSide è responsabile dei due principali attacchi ransomware avvenuti solo la scorsa settimana. Un fornitore di carburante statunitense ha preso di mira Colonial Pipeline e ha ottenuto un riscatto di 5 milioni di dollari. L'altro era rivolto alle filiali europee della società Toshiba. Sulla scia di quegli attacchi riusciti, DarkSide ha annunciato di aver perso l'accesso a una parte considerevole dei suoi server.
Il gruppo DarkSide, fedele alla sua promessa di rimanere trasparente sul suo sito web e informare i suoi potenziali clienti criminali sullo stato delle cose, ha annunciato di non avere più accesso ai server responsabili del suo blog, della sua elaborazione dei pagamenti e dell'infrastruttura DoS. L'annuncio è stato fatto su un forum del dark web e sembra che l'hardware di DarkSide sia stato sequestrato.
Naturalmente, l'attore della minaccia non ha menzionato il paese in cui si trovavano i server sequestrati o le autorità del paese responsabili della rimozione. Lo stesso annuncio affermava che i soldi dei lavori di affiliazione e il taglio di DarkSide sono stati tutti spostati su un "conto sconosciuto".
Questa è una grande notizia, considerando i principali attacchi ransomware che il gruppo ha portato a termine in un brevissimo lasso di tempo. DarkSide aveva precedentemente minacciato di aver già attaccato un'altra manciata di vittime, probabilmente Toshiba era una di quelle. Resta da vedere se il resto degli attacchi arriverà alla fruitiion.
La rimozione del server DarkSide ha avuto un effetto a catena sulla più ampia comunità di hacker clandestini. Threatpost segnala che un certo numero di forum di hacker clandestini ha intrapreso un'azione immediata ed eliminato tutti i post e gli argomenti relativi al ransomware.
I ricercatori di sicurezza hanno anche scoperto che REvil, un altro attore di minacce che esegue un'operazione di ransomware-as-a-service, ha imposto una serie di nuove restrizioni ai suoi futuri licenziatari di ransomware. REvil non eseguirà la "pre-moderazione" dei suoi partner. Il gruppo di minacce ha anche dichiarato esplicitamente che interromperà qualsiasi tentativo di utilizzare il proprio ransomware da parte di terzi su qualsiasi entità governativa, pubblica, sanitaria o educativa.
Ciò è in parte in linea con la politica di DarkSide, poiché DarkSide ha uno strano codice di condotta, avendo promesso di non attaccare mai le istituzioni sanitarie o educative.
Un'altra banda di ransomware che gestisce il ransomware Avaddon ha anche comunicato che tutti i licenziatari di ransomware che desiderano utilizzare il toolkit ransomware del gruppo devono prima coordinare i loro obiettivi con i vertici del gruppo.
ZDNet ha riferito che un grande forum di criminali informatici che contiene post in russo ha rimosso tutti i post di DarkSide dalle sue pagine e ha vietato qualsiasi ulteriore discussione e post sul gruppo DarkSide. Non ci sono informazioni concrete su cosa sia successo esattamente con i server di DarkSide, ma sembra che la rimozione abbia inviato un messaggio ad altri gruppi di ransomware e hacker in tutto il mondo.
