Grupo DarkSide atingido por desligamentos de servidor

DarkSide é a entidade mal-intencionada que executa a operação de ransomware como serviço DarkSide. DarkSide é responsável pelos dois principais ataques de ransomware que ocorreram na semana passada. Um fornecedor de combustível americano Colonial Pipeline teve como alvo e resultou em um pagamento de resgate de $ 5 milhões. O outro era voltado para as filiais europeias da corporação Toshiba. Na esteira desses ataques bem-sucedidos, DarkSide anunciou que agora perdeu o acesso a uma parte considerável de seus servidores.

O grupo DarkSide, fiel à sua promessa de permanecer transparente em seu site e informar seus potenciais clientes criminosos sobre a situação, anunciou que não tinha mais acesso aos servidores responsáveis por seu blog, seu processamento de pagamentos e infraestrutura DoS. O anúncio foi feito em um fórum da dark web e parece que o hardware do DarkSide foi apreendido.

Naturalmente, o agente da ameaça não mencionou em qual país os servidores apreendidos estavam localizados ou quais autoridades foram responsáveis pela remoção. O mesmo anúncio afirmava que o dinheiro dos trabalhos de afiliados e parte dele do DarkSide foram transferidos para uma "conta desconhecida".

Esta é uma grande notícia, considerando os principais ataques de ransomware que o grupo realizou em um período muito curto de tempo. O DarkSide já havia ameaçado que já havia atacado outro punhado de vítimas, com Toshiba provavelmente sendo uma delas. Resta saber se o restante dos ataques frutificará.

A queda do servidor DarkSide teve um efeito cascata na comunidade mais ampla de hackers underground. O Threatpost relata que vários fóruns de hackers clandestinos tomaram medidas imediatas e excluíram todas e quaisquer postagens e tópicos relacionados ao ransomware.

Os pesquisadores de segurança também descobriram que REvil, outro ator de ameaça que executa uma operação de ransomware como serviço, impôs uma série de novas restrições aos seus futuros licenciados de ransomware. REvil não estará realizando "pré-moderação" de seus parceiros. O grupo de ameaça também declarou explicitamente que interromperá qualquer tentativa de ter seu ransomware usado por terceiros em qualquer entidade governamental, pública, de saúde ou educacional.

Isso está parcialmente de acordo com a própria política do DarkSide, já que o DarkSide tem um estranho código de conduta, tendo jurado nunca atacar instituições de saúde ou educacionais.

Outra gangue de ransomware operando o ransomware Avaddon também emitiu avisos de que todos os lincenses de ransomware que desejam fazer uso do kit de ferramentas de ransomware do grupo devem primeiro coordenar seus alvos com os chefes do grupo.

ZDNet relatou que um grande fórum cibercriminoso que contém postagens em russo removeu todas as postagens do DarkSide de suas páginas e proibiu qualquer discussão e postagem sobre o grupo DarkSide. Não há informações concretas sobre o que exatamente aconteceu com os servidores do DarkSide, mas parece que a remoção enviou uma mensagem para outros grupos de ransomware e hackers em todo o mundo.