Af Eskil Sørensen, 17/05/21
Darksidegruppen, der står bag den ransomwaresoftware, der blev brugt til angrebet på Colonial Pipeline, udtaler i et statement, at den har mistet adgang den offentlige del af infrastrukturen, webserver og nogle af de midler, den har tjent på sine aktiviteter.
Det skriver the Record og en række andre medier, dagen efter at amerikanske myndigheder meddelte, at USA planlægger at gå efter banden. Og dette efter, at det blev kendt, at gruppen bag angrebet havde modtaget 5 mio dollars i løsesum for at frigive koder til dekryptering af de låste filer. Uden at det tilsyneladende havde hjulpet Colonial Pipeline syndeligt.
Moskva indblandet
Det var præsident Biden selv, der på en pressekonference i sidste uge sagde, at USA ville gå efter gruppen, og at man havde været i kontakt med ’..Moskva om nødvendigheden af, at ansvarlige lande træffer en afgørende handling mod disse ransomware-netværk’.
Biden oplyste, at man ikke mente, at den russiske regering var indblandet i angrebet, men at operatørerne bor i Rusland. Samtidig nævnte Biden, at USA ville forstyrre deres evne til at operere, og at justitsministeriet havde nedsat en task force, der ville retsforfølge ransomwareangribere ’to the full extent of the law’.
Blandt iagttagere spekuleres der i, om meddelelsen fra Darkside er et scam eller en realitet. Ikke desto mindre har REvil og Avaddon-banderne også annonceret også ændringer i deres aktiviteter, ligesom et stort cyberkriminalitetsforum angiveligt har forbudt ransomware-annoncer
Stop for angreb på kritiske funktioner
REvil har ifølge The Record meldt ud, at de planlægger at stoppe med at reklamere for deres Ransomware-as-a-Service-platform og ’gå privat’. Hvilket skulle være et udtryk, der bruges af cyberkriminalitetsbander til at beskrive deres intention om kun at arbejde med en lille gruppe kendte og pålidelige samarbejdspartnere. Endelig har REvil-gruppen meddelt, at den planlægger at stoppe med at angribe ’..følsomme sociale sektorer som sundhedspleje, uddannelsesinstitutioner og regeringsnetværk i ethvert land, som de mener kan henlede uønsket opmærksomhed på dets drift, som den opmærksomhed, Darkside får lige nu’.
Hvis sådanne angreb udføres af nogen af dets samarbejdspartnere vil REvil give en gratis dekrypteringsnøgle til ofrene og holder op med at samarbejde med aktøren, skriver the Record.
Måske oplever ransomwareaktørerne nu, at de gået for langt denne gang.
Links:
https://therecord.media/darkside-ransomware-gang-says-it-lost-control-of-its-servers-money-a-day-after-biden-threat/ https://www.bleepingcomputer.com/news/security/darkside-ransomware-servers-reportedly-seized-operation-shuts-down/https://www.bloomberg.com/news/articles/2021-05-13/colonial-pipeline-paid-hackers-nearly-5-million-in-ransom