Cũng như Đường ống Thuộc địa phục hồi tất cả các hệ thống của nó đến trạng thái hoạt động sau khi bị tê liệt sự cố ransomware một tuần trước, DarkSide, tổ chức tội phạm mạng đứng sau vụ tấn công, tuyên bố rằng họ đã mất quyền kiểm soát cơ sở hạ tầng của mình, với lý do cơ quan thực thi pháp luật bắt giữ.
Tất cả các trang web đen tối do băng đảng này điều hành, bao gồm blog DarkSide Leaks, trang web thu tiền chuộc và vi phạm máy chủ của mạng phân phối nội dung dữ liệu (CDN), đã chuyển sang trạng thái tối và không thể truy cập được bằng văn bản. Ngoài ra, các khoản tiền từ ví tiền điện tử của họ bị cáo buộc đã chuyển sang một tài khoản không xác định, theo một lưu ý được các nhà khai thác DarkSide chuyển đến các chi nhánh của nó.
“Hiện tại, không thể truy cập các máy chủ này qua SSH và bảng điều khiển lưu trữ đã bị chặn”, sự thông báo thu được bởi Intel 471 đọc.
Sự phát triển diễn ra khi DarkSide đóng cửa chương trình liên kết Ransomware-as-a-Service (RaaS) của mình, với việc nhóm tuyên bố rằng họ sẽ cấp bộ giải mã cho tất cả các chi nhánh của họ cho các công ty bị tấn công, cùng với lời hứa sẽ bồi thường tất cả những gì còn tồn đọng nghĩa vụ tài chính đến ngày 23/5.
Mặc dù các yêu cầu gỡ xuống đánh dấu một bước ngoặt bất ngờ trong câu chuyện Đường ống Thuộc địa, nhưng điều đáng chú ý là không có bằng chứng xác thực công khai những tuyên bố này, làm dấy lên lo ngại rằng đây có thể là một trò lừa đảo thoát hiểm, một chiến thuật ám muội đã gây cản trở darknet bất hợp pháp thị trường trong những năm gần đây, hoặc băng đảng này đang tạo ra ấn tượng rằng nó đang rút lui khỏi ánh đèn sân khấu chỉ để đổi thương hiệu và lén lút tiếp tục hoạt động của mình theo một hình thức khác mà không thu hút sự chú ý không mong muốn.
Theo công ty phân tích chuỗi khối Elliptic, ví bitcoin được sử dụng bởi nhóm ransomware DarkSide đã nhận được khoản thanh toán 75 BTC (3,2 triệu đô la) vào ngày 8 tháng 5 do Colonial Pipeline thực hiện, sau đó ví bitcoin đã bị hết 5 triệu đô la bitcoin vào ngày 13 tháng 5. The Ví, đã hoạt động kể từ ngày 4 tháng 3, đã nhận được tổng cộng 57 khoản thanh toán lên tới 17,5 triệu đô la từ 21 ví khác nhau.
“Đã có suy đoán rằng bitcoin đã bị chính phủ Hoa Kỳ thu giữ – nếu đó là trường hợp họ thực sự không thu giữ hầu hết Thanh toán tiền chuộc của Colonial Pipeline – phần lớn trong số đó đã được chuyển ra khỏi ví vào ngày 9 tháng 5, “đồng sáng lập Elliptic Tom Robinson nói.
Bằng cách theo dõi các dòng tiền mã hóa trong quá khứ từ ví, Elliptic cho biết 18% bitcoin đã được gửi đến một nhóm nhỏ các sàn giao dịch, với 4% bổ sung được gửi đến Hydra, chợ darknet lớn nhất thế giới phục vụ khách hàng ở Nga và Đông Âu. Hydra chiếm hơn 75% doanh thu thị trường darknet trên toàn thế giới vào năm 2020, định vị nó như một người chơi chính trong bối cảnh tội phạm tiền điện tử, theo Chainalysis.
Những thất bại trong hoạt động của DarkSide và sự giám sát cao độ của cuộc tấn công Đường ống Thuộc địa cũng đã tạo ra một làn sóng cấm RaaS trên các diễn đàn tội phạm mạng bất hợp pháp như XSS và Khai thác, đặt ra một sự gián đoạn lớn trong ngắn hạn đối với nền kinh tế ransomware. REvil, thuộc nhóm ransomware phong phú, kể từ đó đã đưa ra các hạn chế mới cấm sử dụng phần mềm của mình chống lại các tổ chức y tế, giáo dục và chính phủ thuộc bất kỳ quốc gia nào.
Nhìn trong bối cảnh này, các hành động của XSS, Exploit và REvil có thể được hiểu là “hiệu ứng gợn sóng” của một loạt các sự cố ransomware cao cấp trong tuần qua, bao gồm cả sự cố của Babuk trên Sở cảnh sát Metropolitan, ngày càng có nhiều nhóm tội phạm mạng đổ bộ vào ranh giới của cơ quan thực thi pháp luật.
“Tuy nhiên, không cần phải nói, tất cả nhưng chắc chắn rằng ransomware sẽ vẫn là một mối đe dọa dai dẳng trong tương lai gần do sự phổ biến và phổ biến của chúng trong cộng đồng tội phạm mạng”, Flashpoint nói. “Nếu có bất cứ điều gì, các cuộc tấn công ransomware có thể sẽ tiếp tục phát triển cả về quy mô và tần suất. Sau khi DarkSide đóng cửa, bối cảnh ransomware bị thống trị bởi bốn tập thể lớn: REvil, LockBit, Avaddon và Conti.”
Do XSS và Exploit từ chối lưu trữ các hoạt động RaaS trên nền tảng của họ, các tập thể ransomware dự kiến sẽ chuyển sang chế độ riêng tư và quảng cáo tuyển dụng cho các chi nhánh mới thông qua các trang web rò rỉ của riêng họ.
