Grupa DarkSide trafiona przez wyłączenie serwerów
DarkSide to zły podmiot, który prowadzi operację DarkSide ransomware-as-a-service. DarkSide jest odpowiedzialny za dwa główne ataki ransomware, które miały miejsce w zeszłym tygodniu. Jeden z amerykańskich dostawców paliw Colonial Pipeline zaatakował i zaowocował zapłaceniem 5 milionów dolarów okupu. Drugi skierowany był do europejskich oddziałów korporacji Toshiba. W następstwie tych udanych ataków DarkSide ogłosił, że utracił teraz dostęp do znacznej części swoich serwerów.
Grupa DarkSide, wierna obietnicy zachowania przejrzystości na swojej stronie internetowej i informowania potencjalnych przestępczych klientów o stanie rzeczy, ogłosiła, że nie ma już dostępu do serwerów odpowiedzialnych za jej blog, przetwarzanie płatności i infrastrukturę DoS. Ogłoszenie zostało ogłoszone na ciemnym forum internetowym i wygląda na to, że sprzęt DarkSide został przejęty.
Naturalnie osoba grożąca nie wspomniała, w jakim kraju znajdują się przejęte serwery, ani które władze są odpowiedzialne za usunięcie. W tym samym ogłoszeniu stwierdzono, że pieniądze z pracy partnerskiej i część DarkSide zostały przeniesione na „nieznane konto”.
To ważna wiadomość, biorąc pod uwagę, jakie główne ataki ransomware grupa przeprowadziła w bardzo krótkim czasie. DarkSide wcześniej zagroził, że zaatakował już kolejną garstkę ofiar, a Toshiba prawdopodobnie była jedną z nich. Okaże się, czy pozostałe ataki przyniosą efekty.
Usunięcie serwera DarkSide wywarło wpływ na szerszą podziemną społeczność hakerów. Threatpost informuje, że wiele podziemnych forów hakerskich podjęło natychmiastowe działania i usunęło wszelkie posty i tematy związane z oprogramowaniem ransomware.
Badacze bezpieczeństwa odkryli również, że REvil, inny podmiot będący zagrożeniem, który przeprowadza operację ransomware-as-a-service, nałożył szereg nowych ograniczeń na swoich przyszłych licencjobiorców oprogramowania ransomware. REvil nie będzie przeprowadzać „wstępnej moderacji” swoich partnerów. Grupa zagrożeń wyraźnie oświadczyła również, że powstrzyma wszelkie próby wykorzystania jej oprogramowania ransomware przez osoby trzecie w instytucjach rządowych, publicznych, zdrowotnych lub edukacyjnych.
Jest to częściowo zgodne z własną polityką DarkSide, ponieważ DarkSide ma dziwny kodeks postępowania, który przyrzekł, że nigdy nie będzie atakował placówek opieki zdrowotnej ani instytucji edukacyjnych.
Inny gang ransomware obsługujący oprogramowanie ransomware Avaddon również wydał zawiadomienia, że wszystkie programy ransomware, które chcą korzystać z zestawu narzędzi ransomware grupy, muszą najpierw skoordynować swoje cele z najwyższymi kierownictwem grupy.
ZDNet poinformował, że duże forum cyberprzestępcze, które zawiera posty w języku rosyjskim, usunęło ze swoich stron wszystkie posty DarkSide i zakazało dalszej dyskusji i postów na temat grupy DarkSide. Nie ma twardych informacji na temat tego, co dokładnie stało się z serwerami DarkSide, ale wygląda na to, że usunięcie spowodowało wysłanie wiadomości do innych grup ransomware i hakerów na całym świecie.
