DarkSide-grupp träffad av serveravstängningar

DarkSide är den dåliga skådespelarenheten som kör DarkSide ransomware-as-a-service-operationen. DarkSide ansvarar för de två stora ransomware-attackerna som ägde rum just förra veckan. En riktad amerikansk bränsleleverantör Colonial Pipeline och resulterade i en lösenutbetalning på 5 miljoner dollar. Den andra riktade sig till de europeiska filialerna för Toshiba Corporation. I kölvattnet av de framgångsrika attackerna meddelade DarkSide att det nu har tappat åtkomst till en betydande del av sina servrar.

DarkSide-gruppen, troget sitt löfte att förbli transparent på sin webbplats och informera sina potentiella kriminella kunder om situationen, meddelade att den inte längre hade tillgång till servrarna som ansvarar för sin blogg, dess betalningshantering och DoS-infrastruktur. Meddelandet gjordes på ett mörkt webbforum och det verkar som om DarkSides hårdvara har beslagtagits.

Naturligtvis nämnde hotaktören inte vilket land de beslagtagna servrarna lokaliserade eller vilket lands myndigheter som var ansvariga för borttagningen. Samma tillkännagivande uppgav att pengarna från affiliate-jobb och DarkSides nedskärning av det hela har flyttats till ett "okänt konto".

Det här är stora nyheter, med tanke på vilka större ransomware-attacker gruppen drog av sig på mycket kort tid. DarkSide hade tidigare hotat att det redan hade attackerat en annan handfull offer, med Toshiba förmodligen en av dem. Det återstår att se om resten av attackerna kommer att gälla.

Avlägsnandet av DarkSide-servern hade en krusningseffekt på det bredare underjordiska hackersamhället. Threatpost rapporterar att ett antal underjordiska hackerforum vidtagit omedelbara åtgärder och raderade alla inlägg och ämnen relaterade till ransomware.

Säkerhetsforskare upptäckte också att REvil, en annan hotaktör som driver en ransomware-as-a-service-verksamhet, införde ett antal nya begränsningar för sina framtida ransomware-licenstagare. REvil kommer inte att utföra "pre-moderering" av sina partners. Hotgruppen uppgav också uttryckligen att den kommer att stoppa alla försök att låta sin ransomware användas av tredje part på statliga, offentliga, hälso- eller utbildningsenheter.

Detta är delvis i linje med DarkSides egen policy, eftersom DarkSide har en konstig uppförandekod som har lovat att aldrig attackera vård eller utbildningsinstitutioner.

Ett annat ransomware-gäng som driver Avaddon-ransomware utfärdade också meddelanden om att alla ransomware-lincenseres som vill använda sig av gruppens ransomware-verktygslåda måste först samordna sina mål med gruppens bästa mässing.

ZDNet rapporterade att ett stort cyberkriminellt forum som innehåller inlägg på ryska har tagit bort alla DarkSide-inlägg från sina sidor och har förbjudit ytterligare diskussioner och inlägg om DarkSide-gruppen. Det finns ingen hård information om exakt vad som hände med DarkSides servrar, men det verkar som om borttagningen skickade ett meddelande till andra ransomwaregrupper och hackare över hela världen.