le Côté obscur programme d’affiliation ransomware responsable de la panne de six jours à Pipeline colonial cette semaine qui a conduit à des pénuries de carburant et à des flambées de prix à travers le pays est en train de courir vers les collines. Le gang criminel a annoncé qu’il fermait boutique après que ses serveurs aient été saisis et que quelqu’un ait vidé la crypto-monnaie d’un compte que le groupe utilise pour payer ses affiliés.
« Les serveurs ont été saisis (pays non nommé), l’argent des annonceurs et des fondateurs a été transféré sur un compte inconnu », lit-on dans un message d’un forum sur la cybercriminalité republié sur la chaîne russe OSINT Telegram.
« Il y a quelques heures, nous avons perdu l’accès à la partie publique de notre infrastructure », poursuit le message, expliquant que la panne a affecté son blog d’humiliation des victimes où des données volées sont publiées par des victimes qui refusent de payer une rançon.
« Le support d’hébergement, à part les informations » à la demande des forces de l’ordre « , ne fournit aucune autre information », déclare l’administrateur de DarkSide. « De plus, quelques heures après le retrait, des fonds du serveur de paiement (le nôtre et celui des clients) ont été retirés vers une adresse inconnue. »
Les organisateurs de DarkSide ont également déclaré qu’ils publiaient des outils de décryptage pour toutes les entreprises qui ont été rançonnées mais qui n’ont pas encore payé.
« Après cela, vous serez libre de communiquer avec eux où vous voulez et de la manière que vous voulez », indiquent les instructions.
Le message DarkSide comprend des passages apparemment écrits par un leader de la plate-forme REvil ransomware-as-a-service. Ceci est intéressant car les experts en sécurité ont postulé que de nombreux membres principaux de DarkSide sont étroitement liés au gang REvil.
Le représentant de REvil a déclaré que son programme introduisait de nouvelles restrictions sur les types d’organisations que les affiliés pouvaient détenir contre rançon, et qu’il serait désormais interdit d’attaquer ceux du «secteur social» (défini comme les établissements de santé et d’enseignement) et les organisations du « gov-secteur » (état) de n’importe quel pays. Les affiliés devront également obtenir l’approbation avant d’infecter les victimes.
Les nouvelles restrictions sont intervenues alors que certains forums russes sur la cybercriminalité ont commencé à se distancer complètement des opérations de ransomware. Jeudi, l’administrateur du populaire forum russe XSS a annoncé que la communauté n’autoriserait plus les fils de discussion sur les programmes rémunérateurs de rançongiciels.
« Il y a trop de publicité », a expliqué l’administrateur XSS. « Les ransomwares ont rassemblé une masse critique d’absurdités, de conneries, de battage médiatique et de tapage autour de lui. Le mot « ransomware » a été assimilé à un certain nombre de phénomènes désagréables, tels que les tensions géopolitiques, l’extorsion et les piratages soutenus par le gouvernement. Ce mot est devenu dangereux et toxique.
Dans un article de blog sur la fermeture de DarkSide, cabinet de cyber intelligence Intel 471 a déclaré qu’il pensait que toutes ces actions pouvaient être directement liées à la réaction liée aux attaques de ransomware très médiatisées couvertes par les médias cette semaine.
« Cependant, une mise en garde importante doit être appliquée à ces développements : il est probable que ces opérateurs de rançongiciels essaient de se retirer des projecteurs plus que de découvrir soudainement l’erreur de leurs manières », a écrit Intel 471. « Un certain nombre d’opérateurs opéreront très probablement dans leurs propres groupes soudés, refaisant surface sous de nouveaux noms et des variantes de ransomware mises à jour. De plus, les opérateurs devront trouver un nouveau moyen de « laver » la crypto-monnaie qu’ils gagnent grâce aux rançons. Intel 471 a observé que BitMix, un service de mixage de crypto-monnaie populaire utilisé par Avaddon, DarkSide et REvil, aurait cessé ses activités. Plusieurs clients apparents du service ont signalé qu’ils n’avaient pas pu accéder à BitMix la semaine dernière.