Se informa que los servidores de ransomware DarkSide se incautan, la operación se detiene
La operación de ransomware DarkSide supuestamente se detuvo después de que los actores de la amenaza perdieron el acceso a los servidores y su criptomoneda se transfirió a una billetera desconocida.
Esta noticia fue compartida por un actor de amenazas conocido como "UNKN", el representante público de la banda de ransomware ransomware REvil, en una publicación del foro. descubierto por primera vez por el investigador Recorded Future Dmitry Smilyanets en el foro de piratería de exploits.
En la publicación, "Unkn" compartió un mensaje supuestamente de DarkSide explicando cómo los atacantes perdieron el acceso a su sitio de filtración de datos públicos, servidores de pago y servidores CDN debido a una acción de las fuerzas de seguridad.
"Desde la primera versión, nos hemos comprometido a hablar honesta y abiertamente sobre los problemas. Hace unas horas, perdimos el acceso a la parte pública de nuestra infraestructura, a saber: Blog, servidor de pagos, servidor DOS", se lee en el post de la Foro UNKN.
"Ahora estos servidores no están disponibles a través de SSH, los paneles de alojamiento están bloqueados. El soporte de alojamiento, aparte de la información" a solicitud de la policía ", no proporciona ninguna otra información".
Esta noticia llega el día después de que el presidente Biden dijera en una conferencia de prensa en la Casa Blanca que los países que albergan redes de ransomware deben tomar medidas para cerrarlas.
"No creemos, recalco, no creemos que el gobierno ruso haya estado involucrado en este ataque. Pero tenemos fuertes razones para creer que los criminales que hicieron el ataque viven en Rusia. De ahí es de donde vino - ellos vino de Rusia ", dijo Ha Biden en un conferencia de prensa sobre el ataque al Oleoducto Colonial.
"Hemos estado en comunicación directa con Moscú sobre el imperativo de que los países responsables tomen medidas decisivas contra estas redes de ransomware".
Hasta ayer, los investigadores de seguridad y los reporteros notaron el sitio de filtración de datos de DarkSide. ya no era accesible, y se especuló que la policía se había apoderado del servidor.
Sin embargo, BleepingComputer ha confirmado que el servidor de pago DarkSide Tor todavía está operativo al momento de escribir este artículo. Si la policía se hubiera apoderado del servidor, podrían haberlo mantenido en funcionamiento para permitir que las víctimas accedan a sus propios descifradores.
Sintiendo el calor de la aplicación de la ley, también se ha especulado que la banda de ransomware DarkSide está sacando una estafa.
Después de recaudar $ 9.4 millones en rescates esta semana entre Brenntag y Oleoducto colonial, podrían robar el dinero, por lo que no tienen que pagar a los afiliados y culpar a una operación policial.
DarkSide cierra el programa de afiliados
Después de publicar nuestra historia, Intel471 ha obtenido acceso al mensaje completo enviado a los afiliados de la operación de ransomware como servicio DarkSide.
Según este mensaje, DarkSide ha decidido cerrar su negocio "debido a la presión de Estados Unidos" y luego de perder el acceso a sus servidores públicos.
El mensaje traducido completo capturado por Intel471 se encuentra a continuación:
Comenzando con la versión uno, hemos prometido hablar sobre los problemas de manera honesta y abierta. Hace un par de horas perdimos el acceso a la parte pública de nuestra infraestructura, especialmente a la
Blog
servidor de pago
Servidor CDN
Actualmente, no se puede acceder a estos servidores a través de SSH y los paneles de alojamiento han sido bloqueados.
El servicio de soporte de alojamiento no proporciona ninguna información excepto "a petición de las autoridades encargadas de hacer cumplir la ley". Además, un par de horas después de la incautación, los fondos del servidor de pagos (que nos pertenece y nuestros clientes) se retiraron a una cuenta desconocida.
Se tomarán las siguientes acciones para resolver el problema actual: Se le proporcionarán herramientas de descifrado para todas las empresas que aún no hayan pagado.
Después de eso, podrás comunicarte con ellos donde quieras y de la forma que prefieras. Póngase en contacto con el servicio de asistencia. Retiraremos el depósito para resolver problemas con todos los usuarios afectados.
La fecha aproximada de compensación es el 23 de mayo (debido a que el depósito debe suspenderse durante 10 días en XSS).
En vista de lo anterior y debido a la presión de Estados Unidos, el programa de afiliados está cerrado. Mantente a salvo y buena suerte.
La página de destino, los servidores y otros recursos se eliminarán en un plazo de 48 horas.
Un punto interesante en este mensaje es que los afiliados recibirán descifradores para sus víctimas. Estos descifradores permitirán a los afiliados extorsionar a esas víctimas por su cuenta sin ninguna afiliación con DarkSide.
REvil ransomware agrega nuevas restricciones
Históricamente, la banda de ransomware REvil no ha mostrado ningún reparo en saber a quién atacar.
Sin embargo, después de informar desde DarkSide tomar nota, REvil ahora ha comenzado a imponer nuevas restricciones sobre quién puede ser cifrado.
El representante de REvil, UNKN, dice que ahora los afiliados primero deben obtener permiso para dirigirse a una organización y que ya no pueden dirigirse a las siguientes entidades:
1. Se prohíbe el trabajo en el sector social (salud, instituciones educativas);
2. Está prohibido trabajar en el sector gubernamental (estado) de cualquier país;
Históricamente, las operaciones de ransomware-as-a-Service (RaaS) se han ejecutado como gratuitas, donde los afiliados cifran a cualquier víctima que quieran sin obtener aprobación previa.
Será interesante ver si estas nuevas reglas llevan a los afiliados a cambiar a otras operaciones de RaaS con menos restricciones.
Actualización 14/5/21: Se agregó un mensaje completo enviado a los afiliados sobre el cierre de DarkSide. DoS modificado a CDN (gracias a Evgueni).
Deja una respuesta
Descubre más contenido