Вымогатели Colonial Pipeline потеряли контроль над деньгами через день после угрозы Байдена

На следующий день после того, как президент США Джо Байден заявил, что США планируют помешать хакерам, стоящим за кибератакой Colonial Pipeline, оператор программы-вымогателя Darkside заявил, что группа потеряла контроль над своими веб-серверами и некоторыми средствами, полученными от выкупа.

«Несколько часов назад мы потеряли доступ к публичной части нашей инфраструктуры, а именно: к блогу. Платежному серверу. Серверам CDN», – сказал Darksupp , оператор программы-вымогателя Darkside, в сообщении, обнаруженном специалистом по аналитике угроз Recorded Future Дмитрием Смилянецом.

«Теперь эти серверы недоступны через SSH, а панели хостинга заблокированы», – сказал оператор Darkside, а также пожаловался на то, что провайдер веб-хостинга отказался сотрудничать.

Кроме того, оператор Darkside также сообщил, что средства в криптовалюте также были сняты с платежного сервера банды, на котором проводились выплаты выкупа жертвами.

По словам Darksupp, средства, которые банда Darkside должна была разделить между собой и своими аффилированными лицами (злоумышленниками, взламывающими сети и развертывающими программы-вымогатели), были переведены на неизвестный кошелек.

“Тейкдаун”?

[*тейкдаун – в спортивной борьбе – бросок на землю]

Это внезапное развитие событий произошло после того, как власти США объявили о своем намерении преследовать банду.

На двух конференциях на этой неделе, в понедельник и четверг, президент США Байден сам выступил и сказал, что США будут преследовать группу после того, как одна из ее атак повредила крупный топливопровод, который затронул половину Восточного побережья США, что привело США к необходимости объявить чрезвычайное положение, чтобы обеспечить доставку бензина в пострадавшие районы.

«Мы напрямую общались с Москвой о том, что ответственные страны должны принять решительные меры против этих сетей-вымогателей», – сказал президент Байден на пресс-конференции в четверг.

«Мы также собираемся принять меры, чтобы помешать их работе», – добавил он [см. Видео ниже].

Pres. Biden on Colonial Pipeline hack: "We do not believe the Russian government was involved in this attack—but we do have strong reason to believe that the criminals who did the attack are living in Russia." https://t.co/CAHmsNFmcf pic.twitter.com/ex8AfuwIPX

— ABC News (@ABC) May 13, 2021

Заявление президента Байдена было также сделано после того, как Билл Эванина, бывший директор Национального центра контрразведки и безопасности США (NCSC), также заявил на прошлой неделе, что разведывательное сообщество США, скорее всего, отреагирует на наглую колониальную атаку разрушительным образом.

Darkside attribution is a good move by the FBI. I fully expect Darkside to shortly experience the full extent of IC and DoD precision tactical deterrent capabilities. https://t.co/YsHFi0h2TY

— William Evanina (@BillEvanina) May 10, 2021

Или “выход из аферы”?

Но Смилянец предупреждает, что заявление группы также может быть уловкой, поскольку официальные лица США еще не сделали никаких заявлений.

Группа могла воспользоваться заявлениями президента Байдена в качестве прикрытия, чтобы закрыть свою инфраструктуру и сбежать с деньгами своего филиала, не заплатив при этом свои обязательства – тактика, известная как «афера с выходом» в киберпреступном подполье.

According to #REvil #ransomware operator Unknown (possible false flag), #DarkSide – No More. Servers are seized. Money is gone ?

— ?????? ?????????? (@ddd1ms) May 14, 2021

Банды REvil и Avaddon тоже объявляют об изменениях

Но последние 24 часа были очень напряженными для банд вымогателей.

Новость о том, что Darkside потеряла контроль над своими серверами и что крупный форум по борьбе с киберпреступлениями запрещает рекламу программ-вымогателей, причем все это происходит в пределах нескольких часов друг от друга, также повлияло на REvil, которые, возможно, считаются крупнейшей операцией вымогателей на сегодняшний день.

В сообщении, цитирующем заявление Darkside (теперь удаленное), официальный представитель REvil Unknown сделал собственное заявление и сказал, что они также планируют прекратить рекламировать свою платформу Ransomware-as-a-Service и «перейти в частную жизнь» – термин, используемый бандами киберпреступников. чтобы описать свое намерение работать только с небольшой группой известных и доверенных сотрудников.

Кроме того, группа REvil также заявила, что планирует прекратить атаковать чувствительные социальные сектора, такие как здравоохранение, образовательные учреждения и правительственные сети любой страны, которые, по ее мнению, могут привлечь нежелательное внимание к ее работе, например, внимание, которое Darkside получает прямо сейчас.

REvil заявили, что в случае любой из таких атак, совершенных кем-либо из их сотрудников, они планируют предоставить жертвам бесплатный ключ дешифрования и прекратить работу с плохо себя ведущим партнером.

Кроме того, через несколько часов после объявления REvil операторы программы-вымогателя Avaddon также объявили об аналогичных обновлениях своей программы с тем же пунктом, запрещающим группам программ-вымогателей атаковать государственные учреждения, медицинские организации и образовательные учреждения.

Хотя мы, возможно, никогда не узнаем, кто или что является движущей силой этих изменений среди банд вымогателей, совершенно очевидно, что атака Colonial Pipeline и ее последствия, похоже, сломали “спину верблюда”, и власти США начали оказывать какое-то давление на эти группы.

@ddd1ms & @campuscodi Some change is happening…. @Raj_Samani @ChristiaanBeek @McAfee_Labs pic.twitter.com/SIgNW3V2Df

— John Fokker (@John_Fokker) May 14, 2021

Материалы в статье:

• https://therecord.media/darkside-ransomware-gang-says-it-lost-control-of-its-servers-money-a-day-after-biden-threat/