DarkSideグループがサーバーのシャットダウンに見舞われた
DarkSideは、DarkSideのサービスとしてのランサムウェア操作を実行する悪意のあるアクターエンティティです。 DarkSideは、先週発生した2つの主要なランサムウェア攻撃の原因です。ある米国の燃料供給業者であるコロニアルパイプラインを標的にして、500万ドルの身代金を支払いました。もう1つは、東芝のヨーロッパ支社を対象としたものです。これらの攻撃の成功を受けて、DarkSideは、サーバーのかなりの部分へのアクセスを失ったことを発表しました。
DarkSideグループは、ウェブサイトの透明性を維持し、潜在的な犯罪顧客に状況を通知するという約束に忠実であり、ブログ、支払い処理、DoSインフラストラクチャを担当するサーバーにアクセスできなくなったと発表しました。発表はダークウェブフォーラムで行われ、DarkSideのハードウェアが押収されたようです。
当然のことながら、攻撃者は、押収されたサーバーが配置されている国や、削除の責任を負っている国の当局については言及していません。同じ発表は、アフィリエイトの仕事からのお金とそれのDarkSideのカットがすべて「未知のアカウント」に移されたと述べました。
非常に短い期間でグループがどのような主要なランサムウェア攻撃を仕掛けたかを考えると、これは大きなニュースです。 DarkSideは以前、すでに数人の犠牲者を攻撃していると脅迫しており、おそらく東芝もその1人でした。残りの攻撃が実を結ぶかどうかはまだ分からない。
DarkSideサーバーの削除は、より広範な地下ハッカーコミュニティに波及効果をもたらしました。 Threatpostは、多くのアンダーグラウンドハッカーフォーラムが即座に行動を起こし、ランサムウェアに関連するすべての投稿とトピックを削除したと報告しています。
セキュリティ研究者はまた、サービスとしてのランサムウェア操作を実行する別の脅威アクターであるREvilが、将来のランサムウェアライセンシーにいくつかの新しい制限を課していることを発見しました。 REvilは、パートナーの「事前モデレーション」を実行しません。脅威グループはまた、政府、公衆、健康、または教育機関で第三者がランサムウェアを使用する試みを阻止すると明示的に述べました。
DarkSideには奇妙な行動規範があり、医療機関や教育機関を攻撃しないことを誓ったため、これはDarkSide自身のポリシーに部分的に一致しています。
Avaddonランサムウェアを運用している別のランサムウェアギャングも、グループのランサムウェアツールキットを利用したいすべてのランサムウェアリンセンシーが、最初にグループのトップブラスとターゲットを調整する必要があるという通知を発行しました。
ZDNetは、ロシア語の投稿を含む大規模なサイバー犯罪フォーラムがそのページからすべてのDarkSide投稿を削除し、DarkSideグループに関するこれ以上の議論と投稿を禁止したと報告しました。 DarkSideのサーバーで何が起こったのかについての確かな情報はありませんが、削除によって世界中の他のランサムウェアグループやハッカーにメッセージが送信されたようです。