Группа DarkSide пострадала из-за отключения серверов

DarkSide - это злоумышленник, выполняющий операцию «программа-вымогатель как услуга» DarkSide. DarkSide несет ответственность за две основные атаки программ-вымогателей, произошедшие буквально на прошлой неделе. Один из них стал жертвой американского поставщика топлива Colonial Pipeline и привел к выплате выкупа в размере 5 миллионов долларов. Другой был нацелен на европейские отделения корпорации Toshiba. После этих успешных атак DarkSide объявила, что теперь потеряла доступ к значительной части своих серверов.

Группа DarkSide, верная своему обещанию оставаться прозрачной на своем веб-сайте и информировать своих потенциальных клиентов-преступников о состоянии дел, объявила, что больше не имеет доступа к серверам, отвечающим за ее блог, обработку платежей и инфраструктуру DoS. Объявление было сделано на форуме в даркнете, и похоже, что оборудование DarkSide было конфисковано.

Естественно, злоумышленник не упомянул, в какой стране находятся захваченные серверы или власти какой страны несут ответственность за удаление. В том же объявлении говорилось, что все деньги от партнерских вакансий и доли DarkSide были переведены на «неизвестный счет».

Это хорошая новость, учитывая, какие крупные атаки с использованием программ-вымогателей удалось осуществить за очень короткий промежуток времени. DarkSide ранее угрожал, что уже напал на другую горстку жертв, и Toshiba, вероятно, была одной из них. Еще неизвестно, принесут ли результаты остальные атаки.

Удаление сервера DarkSide оказало влияние на более широкое подпольное хакерское сообщество. Threatpost сообщает, что ряд подпольных хакерских форумов немедленно приняли меры и удалили все сообщения и темы, связанные с программами-вымогателями.

Исследователи безопасности также обнаружили, что REvil, еще один злоумышленник, выполняющий операцию «программа-вымогатель как услуга», наложил ряд новых ограничений на своих будущих лицензиатов программы-вымогателя. REvil не будет проводить «премодерацию» своих партнеров. Группа угроз также прямо заявила, что будет пресекать любые попытки использования ее программы-вымогателя третьими сторонами в государственных, общественных, медицинских или образовательных учреждениях.

Это частично соответствует собственной политике DarkSide, поскольку у DarkSide есть странный кодекс поведения, в котором она пообещала никогда не нападать на медицинские или образовательные учреждения.

Другая банда вымогателей, работающая с программой-вымогателем Avaddon, также опубликовала уведомления о том, что все лицензиаты вымогателей, которые хотят использовать набор инструментов вымогателей, должны сначала согласовать свои цели с высшим руководством группы.

ZDNet сообщил, что большой форум киберпреступников, содержащий сообщения на русском языке, удалил все сообщения DarkSide со своих страниц и запретил любое дальнейшее обсуждение и сообщения о группе DarkSide. Нет достоверной информации о том, что именно произошло с серверами DarkSide, но похоже, что удаление отправило сообщение другим группам вымогателей и хакерам по всему миру.