RecordedFuture研究员DmitrySmilyanets在黑客论坛上发现了一个名为UNKN的用户在黑客论坛上发帖,这是REvil勒索软件团伙的账号。该帖子显示,由于执法行动,DarkSide已无法访问其数据泄露服务器、赎金支付服务器和CDN服务器。帖子写道:“从第一个版本开始,我们就致力于公开和诚实的讨论。几个小时前,我们还无法访问我们的基础设施,包括博客、支付服务器”,“现在,这些服务器无法访问了”SSH,托管面板也被拦截。托管服务运营商仅表示响应执法机构的要求,并未提供任何其他信息。”美国总统拜登此前在白宫新闻发布会上表示:“再次重申,我们不认为俄罗斯政府参与了此次袭击。不过,我们确实有充分的理由相信,实施袭击的罪犯居住在俄罗斯,源头是俄罗斯”,拜登还表示,部署勒索软件的国家必须采取行动。第二天,执法部门查获了DarkSide的相应基础设施,但经调查发现DarkSide的Tor赎金支付服务器仍在运行,但无法判断服务器是否被查封,因为即使执法部门查封了服务器,也可能保留了服务器正常运行让受害者解密。虽然这一切看起来都是执法机构所为,但也有人猜测DarkSide勒索软件可能存在“黑吃黑”的行为。在本周传闻Brenntag和ColonialPipeline累计支付940万美元的赎金,攻击者可能想带走这笔钱,这样他们就不必向合作伙伴支付赎金,也不必将所有责任归咎于执法部门收益。这种猜测是基于DarkSide勒索软件——RaaS的运行模型。RaaS勒索软件即服务(RaaS)模型是勒索软件行业的一项重大创新。通过与其他攻击团伙合作,勒索团伙负责开发勒索病毒,其他团伙负责入侵攻击。攻击团伙站稳脚跟后,利用勒索软件对数据进行加密勒索。受害人支付赎金后,攻击团伙与勒索团伙按一定比例共享账户。这种商业模式的创新,使得攻击团伙相互勾结,互相帮助,助推了席卷全球的勒索病毒浪潮。Intel471发布了DarkSide向其合作伙伴发送的完整信息。据此,可以认为DarkSide是在面临来自美国的巨大压力,无法访问基础设施服务器后,决定关闭运营。另外,从DarkSide的声明来看,解密工具分发给合作伙伴后,与DarkSide不再相关。Colonial并不是DarkSide的唯一目标,东芝的欧洲业务也是DarkSide勒索软件的目标。东芝表示,它之所以没有支付赎金,是因为它采取了迅速的措施来防止病毒传播到敏感信息。近日,德国化学品分销公司Brenntag向DarkSide支付了440万美元的赎金。该公司多达670台服务器受攻击中断,多达150G的敏感信息被泄露。REvil最初对合作伙伴选择的攻击目标没有任何限制。近日,REvil表示在攻击前必须与合作伙伴沟通确认权限,不能对社会机构(医疗、教育机构)和政府部门发起攻击。REvil也可能吸取了DarkSide的教训,避免了被政府执法机构盯上的破坏性影响。目前尚不清楚这些新限制是否会导致合作伙伴转向其他勒索软件即服务(RaaS)团伙,因为原来的合作伙伴可以在未经任何批准的情况下自由发起攻击。参考来源:BleepingComputer
