管道攻击者黑暗突然变暗 - 这就是我们所知道的

Darkside-The Ransomware集团本周讨论了美国广泛的汽油分布 - 已经变暗了，却不清楚该组是否正在停止，暂停或改变其运营或者只是从协调出口骗局。

星期四，所有八个黑暗网站的暗边用来与公众沟通的暗边，他们仍然被出版时间。过夜，归因于暗侧声称的帖子，而不提供任何证据，该集团的网站和内容分销基础设施已被执法部门扣押，以及它从受害者收到的加密货币。 “此刻，这些服务器无法通过SSH访问，托管面板已被封锁，”帖子介绍了由安全公司英特尔471星期五发布的俄语邮报的翻译。 “托管支持服务不提供除”在执法当局的请求之外的任何信息。此外，扣押几个小时后，支付服务器的资金（属于我们和我们的客户）被撤回到一个未知的帐户。“

该职位继续宣称，Darkside将免费向所有尚未支付赎金的受害者分发解密器。到目前为止，没有关于这一承诺的集团没有报告。

如果是真，缉获将代表执法的大型政变。根据CryptoCurrency跟踪公司的新释放的数据，暗侧七个月内的暗区至少6000万美元，其中4600万美元在今年的前三个月即将推出。

识别Tor隐藏的服务也是一个巨大的分数，因为它可能意味着该组在设置SERVIEL UP或LAME实施方面的主要配置错误时，请知道黑暗Web工作方式中的严重漏洞。 （Intel471分析师表示，一些黑暗的基础设施是公开的 - 意思是常规互联网 - 所以恶意软件可以连接到它。）

但到目前为止，没有证据证明这些非凡索赔。通常，当来自美国和西方欧洲国家的执法抓住网站时，他们在网站上发出通知＆＃39; s首页披露缉获。以下是在网站删除之后尝试访问Netwalker组的网站后，人们看到的一个例子：

到目前为止，暗区网站都没有显示出这样的通知。相反，他们中的大多数时间都超出或显示空白屏幕。

更有令人怀疑的是，索赔是该组织的相当大的加密货持有量。在使用数字货币时经验丰富的人知道不要将其存放在“热钱包”中，这是连接到互联网的数字保险库。因为热钱包包含将资金转移到新账户所需的私钥，因为他们很容易受到帖子和帖子所声称的缉获类型。

对于执法，将数字货币没收，暗边运营商可能会在热钱包中将其存放，暗侧使用的货币兑换将不得不与执法机构合作或被黑客合作。

我非常怀疑赎金软件集团将其利润在热水器上的热钱包中，这将与执法合作。只有当他们需要洗钱时，他们才会去阴暗的交流。即便如此，阻止比转移更可信。

- ves（@vessonsecurity）5月14日，2021年

这也是可行的，因为一个组织像Chaplysey一样接近追踪，被确定的钱包从暗隔天收到资金，并将其随后没收了控股。然而，这种分析需要时间。

Darkside的帖子作为一个名为XS的突出的犯罪地下论坛，宣布它正在禁止所有赎金软件活动，这是一个从过去的脸部攻击。该网站以前是赎金瓶组的重要资源，为罗布纳姆州罗布，Babuk，Darkside，Lockbit和Nefilim招募，招募使用恶意软件，以感染受害者和交易所的削减所产生的收入。几个小时后，给XSS的所有暗界都掉了下来。

根据XSS的管理员，该决定部分基于论坛和赎金软件运算符之间的思想差异。此外，来自高调事件的媒体注意力导致了“临界，炒作和噪音”。 XSS声明提供了一些原因，特别是其决定，特别是赎金软件集体及其随附的袭击正在产生“太多公关”，并将地缘政治和执法风险提升到“危险”水平。“

XSS的管理人员还声称，当“Peskov [俄罗斯总统的新闻局长，Vladimir Putin]被迫在海外的朋友面前找借口 - 这有点太多了。”他们在俄罗斯新闻网站Kommersant的文章超链接了题为“俄罗斯与在美国的管道上的攻击无关”作为这些索赔的基础。

几小时内，根据在Twitter上传播的图像，另外两个其他地下论坛 - 利用和RAID论坛 - 也禁止了与赎金软件相关的帖子。

与此同时，Revil表示，该记录报告说，它禁止使用其对医疗保健，教育和政府组织的软件。

XSS和REVIL的动作构成了赎金软件生态系统的主要短期中断，因为他们删除了一个关键的招聘工具和收入来源。长期效果不太清晰。

“从长远来看，鉴于经营者在经济上有动力并且所雇用的方案已经有效，”Intel471分析师在一封电子邮件中表示，很难相信赎金书软件生态系统将完全褪色。“他们表示，勒索软件集团更有可能“私人”，这意味着他们将不再公开招募公共论坛的附属公司，或者将在新名称下放松目前的运营和重创。

赎金软件组也可以改变他们目前的加密数据的实践，所以＆＃39;在受害者中不可用的同时下载数据并威胁要公开。这种双重裁量方法旨在增加受害者支付的压力。 Babuk Ransomware Group最近开始逐步淘汰其使用恶意软件，同时维护其博客，该博客将姓名和遮蔽受害者发布其数据。

“这种方法允许赎金软件运营商获得勒索敲诈赛事的好处，而无需处理公众退出，扰乱医院或关键基础设施的业务连续性，”Intel471分析师在电子邮件中写道。

目前，唯一的证据表明Darkside的基础设施和加密货币被扣押是录取罪犯的话，几乎不足以考虑确认。 “我可能是错的，但我怀疑这只是一个骗局的出口，”Brett Callow，安全公司Emsisoft的威胁分析师告诉Ars。 “Darkside可以进入日落 - 或者更有可能的是重创 - 无需与犯罪伙伴与合作伙伴分享Ill-Gent的收益。”