网络威胁情报分析师Dmitry Smilyanets于5月13日在俄罗斯黑客论坛Exploit上发现一则消息,宣称攻击美国最大燃油渠道系统Colonial Pipeline的勒索软件集团DarkSide,对外宣布已无法访问自家的部分基础设施,包括博客、支付服务器,以及SDN服务器,疑已遭到执法机关扣押。
根据该消息,DarkSide集团说他们已无法访问这些服务器,控制台已经被封锁,访问时只看见“依执法机关的请求”字眼,此外,原本放置在支付服务器上的资金,也已被转移到其它的地址。
美国媒体猜测DarkSide服务器被扣押,可能跟该集团攻击Colonial Pipeline有关。DarkSide在5月7日攻击Colonial Pipeline,让Colonial Pipeline关闭了负责美国东岸45%燃油供应的所有管线,造成美国油价上涨,此事也惊动了美国政府,宣布进入紧急状态,美国总统拜登(Joe Biden)也在13日针对此事发布评论,指出DarkSide为来自俄罗斯的黑客集团,虽与俄罗斯政府无关,但希望俄罗斯政府能够采取行动对抗这些勒索软件网络,同时美国也会采取行动来破坏DarkSide的运营能力。
目前并不确定是否真有其事,美国并未发布官方声明,也拒绝评论,而Smilyanets也警告这可能只是DarkSide集团的诡计,利用拜登的说法顺水推舟,就能不必把犯罪所得交给会员。
不论如何,DarkSide黑客集团在13日宣布,将立即停止DarkSide的勒索软件即服务(RaaS),将提供所有受害者的解密密钥给会员,并在23日以前解决所有财务义务。
另一方面,安全企业Digital Shadows发现,其实勒索软件在黑客论坛中并不受到欢迎,而且包括XSS、Exploit与RaidForums等知名的黑客论坛都在Colonial Pipeline事件之后,全面封锁了勒索软件,禁止勒索软件于论坛中销售、租赁或是招募会员,更于论坛中全面清除勒索软件的踪迹。
根据Digital Shadows与Smilyanets的分析,黑客论坛排挤勒索软件的最大原因为,这些勒索软件吸引了太多媒体的关注,进而让执法机关把目标对准黑客论坛,其它原因还包括了它们也同样吸引了新手黑客,使得绝大多数的新手黑客都跑去学习加密勒索,并加密他们所看到的任何东西,这些论坛希望平台上有其它技术的交流,此外,也有论坛认为勒索软件太不道德了。
专门提供加密货币合规解决方案的Elliptic指出,该公司找到了DarkSide集团所使用的比特币钱包,显示该钱包自今年3月激活之后,已收到来自21个不同钱包的57笔付款,总价值超过1,750万美元,其中,Colonial Pipeline在5月8日支付了75个比特币。以5月16日每个比特币为4.89万美元来计算,总价约为366万美元。
此外,东芝技术集团(Toshiba Tec Group)在欧洲的子公司,近日也传出遭到DarkSide勒索软件的攻击,目前确定受到波及的范围仅限于欧洲的某些区域,但尚不确定客户信息是否已经外泄。
东芝技术集团专门销售自助结账系统与PoS系统给零售商。根据CNBC的报道,DarkSide攻击东芝的时间点是在5月4日,比Colonial Pipeline还早,但东芝并未联系黑客也未支付赎金。