Recorded Future科学研究工作人员Dmitry Smilyanets在黑客论坛上察觉了名叫UNKN的客户公布的帖子,而UNKN是REvil勒索软件犯罪团伙的账户。帖子表明,受稽查行为危害,DarkSide早已无法打开其数据泄露服务器、赎金付款服务器和CDN服务器。
帖子中写到:“从第一个版本号逐渐,大家就表态要坦诚相见地开展探讨。几小时前,大家早已无法打开大家的基础设施建设,包含blog、付款服务器”,“如今,这种服务器都不能根据SSH开展浏览了,服务器控制面板也被阻拦。服务器服务项目营运商只表明是应稽查组织的标准完成的对应解决,除此之外不带来一切更多信息”。
特朗普总统潘基文以前在美国白宫记者招待会上表明:
而且潘基文还表明布署勒索软件的国家务必付诸行动。第二天,稽查组织就查抄了DarkSide的相对应基础设施建设。
但是,通过调研,发觉DarkSide的Tor赎金支付服务器仍在运作。可是不可以分辨该服务器是不是早已被封查,由于就算稽查组织收走了该服务器,她们也许也维持了该服务器的正常的运作,以容许受害人开展破译。
尽管这一切看起来全是稽查机构所为,但也有些人推断DarkSide勒索软件很有可能存有“浴血黑帮”。这周传言Brenntag和Colonial Pipeline早已付款了总计940万美金的赎金后,网络攻击很有可能要想携款老板跑路,那样就不需要付款合作方的那一份酬劳,而统统归因于稽查行为收走了任何的盈利。
这一推断是根据DarkSide勒索软件的经营模式——RaaS而提起的。
RaaS
勒索软件即服务项目(RaaS)的方式在勒索软件领域是一个重大的壮举,根据和别的进攻犯罪团伙开展协作,由勒索软件犯罪团伙承担开发设计勒索软件,别的犯罪团伙承担侵入进攻。得到出发点后,进攻犯罪团伙应用勒索软件对数据资料开展数据加密敲诈勒索,在受害人付款赎金后,进攻犯罪团伙和勒索软件团伙依照一定的提成占比开展票房分成。这类商业运营模式的自主创新,促使进攻犯罪团伙相互之间串通、沆瀣一气,推动了勒索软件的浪潮席卷全球。
Intel471对外开放公布了DarkSide发给其合作方的详细信息,由此可觉得DarkSide是在遭遇来源于英国的较大工作压力,且无法打开基础设施建设服务器后决策关掉经营。
除此之外,从DarkSide的发言看来,在解密工具分发送给合作方后,就不会与DarkSide相关了。
进攻总体目标
Colonial并不是是DarkSide的唯一总体目标,飞利浦的欧洲地区业务流程也遭受了DarkSide的勒索软件进攻。飞利浦表明因为迅速采用了对策,阻拦了蔓延未蔓延到到比较敏感信息内容,因此该公司沒有付款赎金。
最近,法国的化工品分销商企业Brenntag向DarkSide支付了440万的赎金,该企业被高达670好几个服务器因进攻终止经营,达到150G的敏感性信息内容被泄漏。
REvil原先对合作方选择的进攻总体目标没有限定。最近,REvil表明在合作方进攻前务必与其说沟通交流确定批准,而且不可以对于社会发展组织(卫生保健、教育培训机构)、政府机构进行进攻。
REvil很有可能也汲取了DarkSide的经验教训,防止被政府部门的稽查组织打压导致不可磨灭的危害。原先的合作方不用一切准许就可以肆无忌惮进行进攻,不清楚这种新限定则是不是会造成合作方迁移到别的勒索软件即服务项目(RaaS)的犯罪团伙。
参照由来:BleepingComputer