DarkSide-groep getroffen door serveruitval

DarkSide is de 'bad actor' die de DarkSide ransomware-as-a-service-operatie uitvoert. DarkSide is verantwoordelijk voor de twee grote ransomware-aanvallen die vorige week plaatsvonden. Eén richtte zich op de Amerikaanse brandstofleverancier Colonial Pipeline en resulteerde in een uitbetaling van $ 5 miljoen aan losgeld. De andere was gericht op de Europese vestigingen van Toshiba Corporation. Na die succesvolle aanvallen kondigde DarkSide aan dat het nu geen toegang meer heeft tot een aanzienlijk deel van zijn servers.

De DarkSide-groep, trouw aan haar belofte om transparant te blijven op haar website en potentiële criminele klanten te informeren over de stand van zaken, kondigde aan geen toegang meer te hebben tot de servers die verantwoordelijk zijn voor haar blog, haar betalingsverwerking en DoS-infrastructuur. De aankondiging werd gedaan op een darkwebforum en het lijkt erop dat de hardware van DarkSide in beslag is genomen.

Uiteraard vermeldde de dreigingsacteur niet in welk land de in beslag genomen servers zich bevonden of in welk land de autoriteiten verantwoordelijk waren voor de verwijdering. Dezelfde aankondiging verklaarde dat het geld van aangesloten banen en de verlaging van DarkSide allemaal naar een "onbekende rekening" zijn verplaatst.

Dit is groot nieuws, gezien de grote ransomware-aanvallen die de groep in zeer korte tijd heeft uitgevoerd. DarkSide had eerder gedreigd dat het al een handjevol slachtoffers had aangevallen, met Toshiba waarschijnlijk als een van die slachtoffers. Het valt nog te bezien of de rest van de aanvallen vruchten zal afwerpen.

De verwijdering van de DarkSide-server had een rimpeleffect op de bredere ondergrondse hackergemeenschap. Threatpost meldt dat een aantal ondergrondse hackerforums onmiddellijk actie hebben ondernomen en alle berichten en onderwerpen met betrekking tot ransomware hebben verwijderd.

Beveiligingsonderzoekers ontdekten ook dat REvil, een andere bedreigingsacteur die een ransomware-as-a-service-operatie uitvoert, een aantal nieuwe beperkingen oplegde aan zijn toekomstige ransomwarelicentiehouders. REvil zal geen "pre-moderatie" van zijn partners uitvoeren. De bedreigingsgroep verklaarde ook expliciet dat het zal stoppen met alle pogingen om zijn ransomware door derden te laten gebruiken op overheids-, openbare, gezondheids- of educatieve entiteiten.

Dit is gedeeltelijk in lijn met het eigen beleid van DarkSide, aangezien DarkSide een vreemde gedragscode heeft en gezworen heeft nooit gezondheidszorg of onderwijsinstellingen aan te vallen.

Een andere ransomware-bende die de Avaddon-ransomware exploiteert, heeft ook opgemerkt dat alle ransomware-lincensees die gebruik willen maken van de ransomware-toolkit van de groep, eerst hun doelen moeten afstemmen met de top van de groep.

ZDNet meldde dat een groot cybercrimineel forum dat berichten in het Russisch bevat, alle DarkSide-berichten van zijn pagina's heeft verwijderd en verdere discussies en berichten over de DarkSide-groep heeft verboden. Er is geen harde informatie over wat er precies is gebeurd met de servers van DarkSide, maar het lijkt erop dat de verwijdering een bericht heeft gestuurd naar andere ransomwaregroepen en hackers over de hele wereld.