Tout comme le pipeline colonial restauré Tous ses systèmes à l’état opérationnel à la suite d’un incident de ransomware paralysant il y a une semaine, DarkSide, le syndicat de la cybercriminalité à l’origine de l’attaque, a affirmé avoir perdu le contrôle de son infrastructure, citant une saisie des forces de l’ordre.
Tous les sites Web sombres exploités par le gang, y compris son blog DarkSide Leaks, son site de collecte de rançons et les serveurs du réseau de diffusion de contenu de données (CDN), sont devenus sombres et restent inaccessibles au moment de la rédaction. En outre, les fonds de leurs portefeuilles de crypto-monnaie auraient été exfiltrés vers un compte inconnu, selon une note transmise par les opérateurs DarkSide à ses affiliés.
« Pour le moment, ces serveurs ne sont pas accessibles via SSH, et les panneaux d’hébergement ont été bloqués », annonce obtenu par Intel 471 lu.
Le développement intervient alors que DarkSide a fermé définitivement son programme d’affiliation Ransomware-as-a-Service (RaaS), le groupe déclarant qu’il émettrait des décrypteurs à tous ses affiliés pour les entreprises qui ont été attaquées, avec une promesse de compenser tous les exceptionnels. obligations financières au plus tard le 23 mai.
Bien que les démantèlements marquent une tournure surprise dans la saga Colonial Pipeline, il convient de noter qu’il n’y a aucune preuve pour corroborer publiquement ces allégations, ce qui soulève des inquiétudes quant au fait qu’il pourrait s’agir d’une arnaque à la sortie, une tactique sournoise qui a tourmenté darknet illégal marchés au cours des dernières années, ou que le gang donne l’impression qu’il se retire des projecteurs uniquement pour changer de nom et poursuivre furtivement ses opérations dans un autre format sans attirer l’attention indésirable.
Selon la société d’analyse de blockchain Elliptic, le portefeuille bitcoin utilisé par le groupe de ransomware DarkSide a reçu un paiement de 75 BTC (3,2 millions de dollars) le 8 mai effectué par Colonial Pipeline, à la suite de quoi le portefeuille a été vidé de 5 millions de dollars en bitcoin le 13 mai. wallet, qui est actif depuis le 4 mars, a reçu un total de 57 paiements pour un montant de 17,5 millions de dollars provenant de 21 portefeuilles différents.
« Il y a eu des spéculations selon lesquelles les bitcoins ont été saisis par le gouvernement américain – si tel est le cas, ils n’ont pas réellement saisi la majeure partie du paiement de la rançon de Colonial Pipeline – la majorité a été retirée du portefeuille le 9 mai », a déclaré Elliptic co-fondateur Tom Robinson mentionné.
En retraçant les sorties passées de crypto-monnaie du portefeuille, Elliptic a déclaré que 18% du bitcoin avait été envoyé à un petit groupe d’échanges, avec 4% supplémentaires envoyés à Hydra, le plus grand bazar darknet au monde qui sert des clients en Russie et en Europe de l’Est. Hydre représente plus de 75% des revenus du marché du darknet dans le monde en 2020, ce qui le positionne comme un acteur majeur du paysage de la crypto-criminalité, par Chainalyse.
Les revers opérationnels de DarkSide et l’examen approfondi de l’attaque du pipeline colonial ont également déclenché une vague d’interdictions RaaS sur les forums de cybercriminalité illicites tels que XSS et Exploit, posant une perturbation majeure à court terme de l’économie des ransomwares. REvil, l’un des groupes prolifiques de ransomware, a depuis introduit de nouvelles restrictions qui interdisent l’utilisation de ses logiciels contre les entités de soins de santé, d’éducation et gouvernementales appartenant à n’importe quel pays.
Vues dans ce contexte, les actions de XSS, Exploit et REvil peuvent être interprétées comme un «effet d’entraînement» d’une série d’incidents de ransomwares très médiatisés au cours de la semaine dernière, y compris celui de Babuk’s sur le département de la police métropolitaine, qui atterrit de plus en plus de groupes de cybercriminalité dans la ligne de mire des forces de l’ordre.
« Inutile de dire, cependant, qu’il est presque certain que les ransomwares resteront une menace persistante dans un avenir prévisible étant donné leur popularité et leur popularité au sein des communautés cybercriminelles, » Flashpoint mentionné. «Si quoi que ce soit, les attaques de ransomwares continueront probablement de croître à la fois en échelle et en fréquence. Après la fermeture de DarkSide, le paysage des ransomwares est dominé par quatre grands collectifs: REvil, LockBit, Avaddon et Conti.
À la lumière du refus de XSS et d’Exploit d’héberger des opérations RaaS sur leurs plates-formes, les collectifs de ransomwares devraient devenir privés et annoncer le recrutement de nouveaux affiliés via leurs propres sites de fuite.