DarkSide sufre de "¡Oh, mierda!" Fallos del servidor - Calendae | Informática, Electrónica, CMS, Ciberseguridad

DarkSide sufre de «¡Oh, mierda!» Fallos del servidor

Hola, ¿qué tal colega?. Yo soy Eduardo Arroyo y esta vez vamos a hablar sobre DarkSide sufre de «¡Oh, mierda!» Fallos del servidor

DarkSide Ransomware sufre de «¡Oh, mierda!» Fallos del servidor

El RaaS que paralizó Colonial Pipeline perdió los servidores que usa para lanzar ataques de ransomware, mientras que las gónadas de REvil se redujeron en respuesta.

DarkSide, la banda de ransomware-as-a-server (RaaS) que paralizó a Colonial Pipeline Co.hace una semana, extorsionó alrededor de $ 5 millones y envió a la compañía de combustible una herramienta de descifrado que según se informa apenas podía cojear durante el proceso de desbloqueo del archivo, ahora está paralizado por su cuenta.

En las primeras horas del viernes por la mañana, DarkSide, siguiendo su propia promesa de «hablar honesta y abiertamente» sobre los problemas, hizo una lista de problemas. En una publicación en un foro clandestino observado por los investigadores de Kaspersky y compartido con Threatpost, afirmó haber perdido el acceso a la parte pública de su infraestructura: específicamente, los servidores de su blog, el procesamiento de pagos y la denegación. -Of-service (DoS) las operaciones habían sido incautadas.

DarkSide no especificó el país en el que operaban esos servidores o cuyos agentes de la ley los incautaron.

Descargue «La evolución del ransomware» para obtener información valiosa sobre las tendencias emergentes en medio de volúmenes de ataques en rápido crecimiento. ¡Haz clic arriba para perfeccionar tu inteligencia defensiva!

«Desde la primera versión, hemos prometido hablar honesta y abiertamente sobre los problemas», escribió la pandilla en una publicación clandestina en un foro, diciendo que el dinero recaudado por los fundadores y afiliados de la pandilla se transfirió a una cuenta desconocida.

«Ahora estos servidores no están disponibles a través de SSH, los paneles de alojamiento están bloqueados», dijo DarkSide. «El soporte de alojamiento, que no sea la información» a solicitud de las fuerzas del orden público «, no proporciona ninguna otra información».

REvil suda balas

La eliminación de DarkSide generó ondas de choque a través de otros foros clandestinos, muchos de los cuales eliminaron todos los temas de ransomware. Como señalaron los investigadores, el jugador de DarkSide, REvil, se vio obligado a introducir sus propias restricciones nuevas.

La pandilla REvil ha anunciado que está instituyendo la moderación previa para su red de socios y ha dicho que prohibirá cualquier intento de atacar a cualquier organización gubernamental, pública, educativa o de salud.

Los partidarios de REvil comentaron sobre la experiencia de DarkSide, diciendo que está «obligado a introducir» estas «nuevas restricciones importantes»:

  1. Se prohíbe el trabajo en el sector social (salud, instituciones educativas);
  2. Está prohibido trabajar en el sector gubernamental (estado) de cualquier país;
  3. Antes del espaciador, el objetivo se acuerda con la administración del PP: Escriba la descripción del objetivo, su sitio web, información de zoom, etc, etc.;

Los infractores serán expulsados, dijo REvil, refiriéndose a la distribución gratuita de «desh». Esta es probablemente una referencia a «deshirfrator» o «descifrador» en ruso: herramientas que generalmente están tan lejos de ser gratuitas como los atacantes de ransomware pueden crearlas. Los actores de ransomware prometen dar a sus víctimas estas herramientas a cambio de dinero de extorsión, que muchas organizaciones desembolsan con la creencia, a menudo inútil, de que pueden desbloquear sus archivos.

REvil también dijo que probablemente eliminará todos sus temas de ransomware de foros clandestinos y «entrará en privado». El grupo le dijo a su audiencia que «sea un poco más activa» y «se pongan en contacto [private messages]. «

¿Qué es esto, la reforma RaaS?

El propio DarkSide lanzó esta ola de retrocesos de RaaS a principios de esta semana, cuando el actor de amenazas afirmó que era solo para obtener ganancias y que no tenía intención de causar ningún trastorno político, económico o social. Nuestro mal, dijeron: solo buscábamos moolah, no la rodilla de la infraestructura de la nación. Vigilaremos mejor a nuestros clientes criminales en el futuro, prometieron, llamando al ataque al Oleoducto Colonial «un gran ‘oops'».

Fue realmente grande, con las ondas aún extendiéndose una semana después. Colonial Pipeline, el proveedor de aproximadamente el 45% del combustible líquido utilizado en el sur y este de los Estados Unidos, cerró de forma proactiva sus operaciones de suministro de combustible tras el ataque de ransomware de hace una semana. Básicamente estuvieron inactivos durante cinco días, y solo volvieron a la vida el miércoles. Mientras tanto, continúan la escasez de gasolina y las subidas de precios.

También el miércoles, el presidente Biden firmó una orden ejecutiva para fortalecer las ciberdefensas del gobierno federal. En la actualidad, la administración está manipulando una variedad de ataques digitales, incluido SolarWinds.

En cualquier caso, esta no es la primera vez que DarkSide tiene un caso de escrúpulos. En octubre, trató de enviar $ 20,000 en donaciones a organizaciones benéficas en una pantalla de «en realidad somos los buenos» que probablemente debería haber llamado la atención sobre futuros volcados de datos, como dijeron los expertos en ese momento. Fue un gesto vacío: las organizaciones benéficas, The Water Project y Children International, rechazaron el dinero.

Y, antes del ataque al Colonial Pipeline, DarkSide, al igual que otros aspirantes a Robin Hood, ya tenía un código de ética que prohibía los ataques a hospitales, hospicios, escuelas, universidades, organizaciones sin fines de lucro y agencias gubernamentales, similar al nuevo velo ético. por REvil.

Cuando la pandilla de Babuk salió por primera vez del barro, también se pintó a sí misma como una pandilla con una moraleja. La Los operadores de Babuk también dijeron no atacaría hospitales, organizaciones sin fines de lucro (a menos que apoyen a LGBT o Black Lives Matter, es decir, presumiblemente demostrando sus prejuicios), pequeñas empresas (menos de $ 4 millones en ingresos anuales: datos que afirman haber recopilado del servicio de inteligencia corporativa ZoomInfo) y escuelas (excepto universidades). Todos los demás fueron un juego limpio, incluidas las clínicas de cirugía plástica y dentales (presumiblemente demostrando que los médicos pueden haber sufrido una mala odontología o pastillas abdominales) y las principales universidades.

Después de que Babuk atacara al Departamento de Policía Metropolitana de Washington DC en abril, Randy Pargman, un veterano de 15 años del FBI y actual vicepresidente de caza de amenazas y contrainteligencia en Binary Defense y perseguidor de Babuk desde hace mucho tiempo, dijo a Threatpost que los operadores detrás del RaaS están ofreciendo o realmente no quieren atacar a esas entidades, o simplemente están haciendo una cara pública, diciéndole al mundo que no somos tan malos.

Sin embargo, el hecho de que un grupo de ransomware tenga un código de ética no significa que todos sus afiliados lo sigan. Cuando comenzó la pandemia, varias bandas de ransomware se comprometieron a preservar los hospitales debido al flagelo actual del COVID-19. Los grupos Maze y DoppelPaymer, por ejemplo, dijeron que no apuntarían a las instalaciones médicas y, si se golpearan accidentalmente, proporcionarían las claves de descifrado de forma gratuita. Los operadores de Netwalker, mientras tanto, también dijeron que no apuntarían a los hospitales. Sin embargo, si lo golpearan accidentalmente, el hospital aún tendría que pagar el rescate.

Estas promesas no se han cumplido: los ciberdelincuentes no han eximido a los profesionales médicos, hospitales u organizaciones de atención médica de primera línea de la pandemia del coronavirus cuando se trata de ataques cibernéticos, incluido el ransomware y otro malware, y no hay razón para creer que el nuevo código de ética de REvil Será diferente.

Algunos grupos ni siquiera afirman tener una pátina de honor: en septiembre, los empleados de Universal Health Services (UHS), propietario de una red nacional de hospitales en la lista Fortune-500, informaron interrupciones generalizadas que provocaron retrasos en los resultados de laboratorio. se recurre a lápiz y papel y los pacientes se desvían a otros hospitales. El culpable resultó ser el ransomware Ryuk, que bloqueó los sistemas hospitalarios durante días. Ese grupo nunca ha intentado demostrar una conciencia.

Descargue nuestro exclusivo eBook Threatpost Insider GRATIS, «2021: la evolución del ransomware, « para ayudar a perfeccionar sus estrategias de defensa cibernética contra este flagelo creciente. Vamos más allá del status quo para descubrir las perspectivas del ransomware y sus riesgos emergentes. Obtenga toda la historia y DESCARGAR el eBook ahora – ¡sobre nosotros!

.

Deberías compartir en tus redes sociales para que tus amigos lo lean

??? ? ? ???

Comparte