DarkSide Group rammet av serveravstengninger

DarkSide er den dårlige skuespillerenheten som kjører DarkSide-ransomware-as-a-service-operasjonen. DarkSide er ansvarlig for de to store ransomware-angrepene som fant sted akkurat forrige uke. En målrettet amerikansk drivstoffleverandør Colonial Pipeline og resulterte i en løsesumutbetaling på 5 millioner dollar. Den andre var rettet mot de europeiske filialene til Toshiba Corporation. I kjølvannet av de vellykkede angrepene kunngjorde DarkSide at det nå har mistet tilgangen til en betydelig del av serverne.

DarkSide-gruppen, trofast mot løftet om å forbli gjennomsiktig på nettstedet og informere potensielle kriminelle kunder om forholdene, kunngjorde at de ikke lenger hadde tilgang til serverne som var ansvarlige for bloggen, betalingsbehandlingen og DoS-infrastrukturen. Kunngjøringen ble gjort på et mørkt webforum, og det ser ut til at DarkSides maskinvare er beslaglagt.

Naturligvis nevnte ikke trusselsaktøren hvilket land de beslaglagte serverne befant seg eller hvilket lands myndigheter som var ansvarlige for fjerningen. Den samme kunngjøringen uttalte at pengene fra tilknyttede jobber og DarkSides kutt av det hele har blitt flyttet til en "ukjent konto".

Dette er store nyheter, med tanke på hvilke store ransomware-angrep gruppen trakk av på veldig kort tid. DarkSide hadde tidligere truet med at de allerede hadde angrepet en annen håndfull ofre, med Toshiba sannsynligvis en av dem. Det gjenstår å se om resten av angrepene vil gi frukt.

Fjernelse av DarkSide-serveren hadde en ringvirkning på det bredere underjordiske hackersamfunnet. Threatpost rapporterer at en rekke underjordiske hackerfora tok umiddelbar handling og slettet alle innlegg og emner relatert til løsepenger.

Sikkerhetsforskere oppdaget også at REvil, en annen trusselsaktør som driver en ransomware-as-a-service-operasjon, innførte en rekke nye begrensninger for sine fremtidige lisensierte ransomware-lisenser. REvil vil ikke utføre "pre-moderering" av sine partnere. Trusselgruppen uttalte også eksplisitt at den vil stoppe ethvert forsøk på å få sin løsepenger brukt av tredjeparter på myndighets-, helse- eller utdanningsenheter.

Dette er delvis i tråd med DarkSides egen policy, da DarkSide har en merkelig oppførselskode, etter å ha lovet å aldri angripe helse- eller utdanningsinstitusjoner.

En annen ransomware-gjeng som driver Avaddon-ransomware, ga også ut meldinger om at alle ransomware-linsenser som ønsker å benytte seg av gruppens ransomware-verktøysett, først må koordinere sine mål med topp messing i gruppen først.

ZDNet rapporterte at et stort nettkriminalforum som inneholder innlegg på russisk har fjernet alle DarkSide-innlegg fra sidene og har utestengt ytterligere diskusjoner og innlegg om DarkSide-gruppen. Det er ingen hard informasjon om hva som akkurat skjedde med DarkSides servere, men det ser ut til at fjerningen sendte en melding til andre ransomwaregrupper og hackere over hele verden.