DarkSide Ransomware Gang se retira después de los servidores, Bitcoin Stash incautado – Krebs on Security


La Lado oscuro programa de afiliados de ransomware responsable de la interrupción de seis días en Oleoducto colonial esta semana, lo que provocó escasez de combustible y picos de precios en todo el país, está corriendo hacia las colinas. La banda felony anunció que cerraría sus operaciones después de que se incautaron sus servidores y alguien drenó la criptomoneda de una cuenta que el grupo united states of america para pagar a los afiliados.

“Se confiscaron servidores (sin nombre del país), el dinero de los anunciantes y fundadores se transfirió a una cuenta desconocida”, se lee en un mensaje de un foro de ciberdelincuencia publicado en el canal ruso OSINT Telegram.

“Hace unas horas, perdimos el acceso a la parte pública de nuestra infraestructura”, continúa el mensaje, explicando que la interrupción afectó a su site para avergonzar a las víctimas, donde se publican datos robados de víctimas que se niegan a pagar un rescate. La interrupción también desactivó su servidor de pago y los que suministran su función distribuida de denegación de servicio, que se utiliza para aumentar la presión sobre las víctimas que se resisten a pagar.

«El soporte de alojamiento, aparte de la información &#39a solicitud de las agencias de aplicación de la ley&#39, no proporciona ninguna otra información», dice el administrador de DarkSide. «Además, unas horas después del retiro, los fondos del servidor de pagos (nuestro y de los clientes) se retiraron a una dirección desconocida».

Los organizadores de DarkSide también dijeron que estaban lanzando herramientas de descifrado para todas las empresas que han sido rescatadas pero que aún no han pagado.

«Después de eso, podrá comunicarse con ellos donde quiera y de la forma que desee», se lee en las instrucciones.

El mensaje de DarkSide incluye pasajes aparentemente escritos por un líder de la plataforma de ransomware como servicio REvil. Esto es interesante porque los expertos en seguridad han postulado que muchos de los miembros principales de DarkSide están estrechamente vinculados a la pandilla REvil.

El representante de REvil dijo que su programa estaba introduciendo nuevas restricciones sobre los tipos de organizaciones que los afiliados podrían mantener para pedir rescate, y que de ahora en adelante estaría prohibido atacar a aquellos en el «sector social» (definido como instituciones de salud y educación) y organizaciones en el “Gov-sector” (estado) de cualquier país. Los afiliados también deberán obtener la aprobación antes de infectar a las víctimas.

Las nuevas restricciones se produjeron cuando algunos foros rusos de delitos informáticos comenzaron a distanciarse por completo de las operaciones de ransomware. El jueves, el administrador del foro preferred ruso XSS anunció que la comunidad ya no permitiría discusiones sobre programas de ransomware para hacer dinero.

«Hay demasiada publicidad», explicó el administrador de XSS. “El ransomware ha acumulado una masa crítica de tonterías, tonterías, exageraciones y alboroto a su alrededor. La palabra «ransomware» se ha equiparado con una serie de fenómenos desagradables, como tensiones geopolíticas, extorsión y hacks respaldados por el gobierno. Esta palabra se ha vuelto peligrosa y tóxica «.

En una publicación de web site sobre el cierre de DarkSide, empresa de inteligencia cibernética Intel 471 dijo que cree que todas estas acciones pueden estar vinculadas directamente a la reacción relacionada con los ataques de ransomware de alto perfil cubiertos por los medios de comunicación esta semana.

«Sin embargo, se debe aplicar una fuerte advertencia a estos desarrollos: es possible que estos operadores de ransomware estén tratando de retirarse del centro de atención más que descubrir repentinamente el error de sus caminos», escribió Intel 471. “Es muy probable que varios de los operadores operen en sus propios grupos cerrados, resurgiendo con nuevos nombres y variantes de ransomware actualizadas. Además, los operadores tendrán que encontrar una nueva forma de «lavar» la criptomoneda que obtienen de los rescates. Intel 471 ha observado que BitMix, un well-known servicio de mezcla de criptomonedas utilizado por Avaddon, DarkSide y REvil, supuestamente ha cesado sus operaciones. Varios clientes aparentes del servicio informaron que no pudieron acceder a BitMix en la última semana «.



Enlace a la noticia initial