Recorded Future研究人員Dmitry Smilyanets在黑客論壇上發(fā)現(xiàn)了名為UNKN的用戶發(fā)布的帖子，而UNKN是REvil勒索軟件團(tuán)伙的賬號(hào)。帖子顯示，受執(zhí)法行動(dòng)影響，DarkSide已經(jīng)無法訪問其數(shù)據(jù)泄露服務(wù)器、贖金支付服務(wù)器和CDN服務(wù)器。

[[399974]]

帖子中寫道：“從第一個(gè)版本開始，我們就承諾要開誠布公地進(jìn)行討論。幾個(gè)小時(shí)前，我們已經(jīng)無法訪問我們的基礎(chǔ)設(shè)施，包括博客、支付服務(wù)器”，“現(xiàn)在，這些服務(wù)器都無法通過SSH進(jìn)行訪問了，主機(jī)面板也被攔截。主機(jī)服務(wù)運(yùn)營商只表示是應(yīng)執(zhí)法機(jī)構(gòu)的要求進(jìn)行的相應(yīng)處理，此外不提供任何其他信息”。

美國總統(tǒng)拜登之前在白宮新聞發(fā)布會(huì)上表示：

并且拜登還表示部署勒索軟件的國家必須采取行動(dòng)。第二天，執(zhí)法機(jī)構(gòu)就查抄了DarkSide的相應(yīng)基礎(chǔ)設(shè)施。

不過，經(jīng)過調(diào)查，發(fā)現(xiàn)DarkSide的Tor贖金付款服務(wù)器仍在運(yùn)行。但是不能判斷該服務(wù)器是否已經(jīng)被查封，因?yàn)榧幢銏?zhí)法機(jī)構(gòu)沒收了該服務(wù)器，他們可能也保持了該服務(wù)器的正常運(yùn)行，以允許受害者進(jìn)行解密。

雖然這一切看上去都是執(zhí)法組織所為，但也有人推測(cè)DarkSide勒索軟件可能存在“黑吃黑”。本周傳聞Brenntag和Colonial Pipeline已經(jīng)支付了累計(jì)940萬美元的贖金后，攻擊者可能想要卷款跑路，這樣就不必支付合作伙伴的那份報(bào)酬，而全都?xì)w咎于執(zhí)法行動(dòng)沒收了所有的收益。

這個(gè)推測(cè)是基于DarkSide勒索軟件的運(yùn)營模式——RaaS而提出的。

RaaS

勒索軟件即服務(wù)(RaaS)的模式在勒索軟件行業(yè)是一個(gè)偉大的創(chuàng)舉，通過和其他攻擊團(tuán)伙進(jìn)行合作，由勒索軟件團(tuán)伙負(fù)責(zé)開發(fā)勒索軟件，其他團(tuán)伙負(fù)責(zé)入侵攻擊。獲得立足點(diǎn)后，攻擊團(tuán)伙使用勒索軟件對(duì)數(shù)據(jù)進(jìn)行加密勒索，在受害者支付贖金后，攻擊團(tuán)伙和勒索軟件團(tuán)伙按照一定的分成比例進(jìn)行分賬。這種商業(yè)模式的創(chuàng)新，使得攻擊團(tuán)伙互相勾結(jié)、狼狽為奸，助推了勒索軟件浪潮席卷全球。

Intel471對(duì)外發(fā)布了DarkSide發(fā)送給其合作伙伴的完整消息，據(jù)此可認(rèn)為DarkSide是在面臨來自美國的巨大壓力，且無法訪問基礎(chǔ)設(shè)施服務(wù)器后決定關(guān)閉運(yùn)營。

此外，從DarkSide的表態(tài)來看，在解密工具分發(fā)給合作伙伴后，就不再與DarkSide有關(guān)了。

攻擊目標(biāo)

Colonial并非是DarkSide的唯一目標(biāo)，東芝的歐洲業(yè)務(wù)也遭到了DarkSide的勒索軟件攻擊。東芝表示由于快速采取了措施，阻止了擴(kuò)散未波及到敏感信息，所以該公司沒有支付贖金。

近期，德國的化學(xué)品分銷公司Brenntag向DarkSide支付了440萬美元的贖金，該公司被多達(dá)670多個(gè)服務(wù)器因攻擊停止運(yùn)營，高達(dá)150G的敏感信息被泄露。

REvil原來對(duì)合作伙伴選取的攻擊目標(biāo)沒有任何限制。近期，REvil表示在合作伙伴攻擊前必須與其溝通確認(rèn)許可，并且不能針對(duì)社會(huì)機(jī)構(gòu)(衛(wèi)生保健、教育機(jī)構(gòu))、政府部門發(fā)起攻擊。

REvil可能也吸取了DarkSide的教訓(xùn)，避免被政府的執(zhí)法機(jī)構(gòu)打擊造成毀滅性的影響。原來的合作伙伴無需任何批準(zhǔn)就可以肆意發(fā)起攻擊，不知道這些新限制則是否會(huì)導(dǎo)致合作伙伴轉(zhuǎn)移到其他勒索軟件即服務(wù)(RaaS)的團(tuán)伙。

參考來源：BleepingComputer