Recorded Future研究人員Dmitry Smilyanets在黑客論壇上發(fā)現(xiàn)了名為UNKN的用戶發(fā)布的帖子，而UNKN是REvil勒索軟件團伙的賬號。帖子顯示，受執(zhí)法行動影響，DarkSide已經(jīng)無法訪問其數(shù)據(jù)泄露服務(wù)器、贖金支付服務(wù)器和CDN服務(wù)器。

[[399974]]

帖子中寫道：“從第一個版本開始，我們就承諾要開誠布公地進行討論。幾個小時前，我們已經(jīng)無法訪問我們的基礎(chǔ)設(shè)施，包括博客、支付服務(wù)器”，“現(xiàn)在，這些服務(wù)器都無法通過SSH進行訪問了，主機面板也被攔截。主機服務(wù)運營商只表示是應(yīng)執(zhí)法機構(gòu)的要求進行的相應(yīng)處理，此外不提供任何其他信息”。

美國總統(tǒng)拜登之前在白宮新聞發(fā)布會上表示：

并且拜登還表示部署勒索軟件的國家必須采取行動。第二天，執(zhí)法機構(gòu)就查抄了DarkSide的相應(yīng)基礎(chǔ)設(shè)施。

不過，經(jīng)過調(diào)查，發(fā)現(xiàn)DarkSide的Tor贖金付款服務(wù)器仍在運行。但是不能判斷該服務(wù)器是否已經(jīng)被查封，因為即便執(zhí)法機構(gòu)沒收了該服務(wù)器，他們可能也保持了該服務(wù)器的正常運行，以允許受害者進行解密。

雖然這一切看上去都是執(zhí)法組織所為，但也有人推測DarkSide勒索軟件可能存在“黑吃黑”。本周傳聞Brenntag和Colonial Pipeline已經(jīng)支付了累計940萬美元的贖金后，攻擊者可能想要卷款跑路，這樣就不必支付合作伙伴的那份報酬，而全都歸咎于執(zhí)法行動沒收了所有的收益。

這個推測是基于DarkSide勒索軟件的運營模式——RaaS而提出的。

RaaS

勒索軟件即服務(wù)(RaaS)的模式在勒索軟件行業(yè)是一個偉大的創(chuàng)舉，通過和其他攻擊團伙進行合作，由勒索軟件團伙負責(zé)開發(fā)勒索軟件，其他團伙負責(zé)入侵攻擊。獲得立足點后，攻擊團伙使用勒索軟件對數(shù)據(jù)進行加密勒索，在受害者支付贖金后，攻擊團伙和勒索軟件團伙按照一定的分成比例進行分賬。這種商業(yè)模式的創(chuàng)新，使得攻擊團伙互相勾結(jié)、狼狽為奸，助推了勒索軟件浪潮席卷全球。

Intel471對外發(fā)布了DarkSide發(fā)送給其合作伙伴的完整消息，據(jù)此可認為DarkSide是在面臨來自美國的巨大壓力，且無法訪問基礎(chǔ)設(shè)施服務(wù)器后決定關(guān)閉運營。

此外，從DarkSide的表態(tài)來看，在解密工具分發(fā)給合作伙伴后，就不再與DarkSide有關(guān)了。

攻擊目標

Colonial并非是DarkSide的唯一目標，東芝的歐洲業(yè)務(wù)也遭到了DarkSide的勒索軟件攻擊。東芝表示由于快速采取了措施，阻止了擴散未波及到敏感信息，所以該公司沒有支付贖金。

近期，德國的化學(xué)品分銷公司Brenntag向DarkSide支付了440萬美元的贖金，該公司被多達670多個服務(wù)器因攻擊停止運營，高達150G的敏感信息被泄露。

REvil原來對合作伙伴選取的攻擊目標沒有任何限制。近期，REvil表示在合作伙伴攻擊前必須與其溝通確認許可，并且不能針對社會機構(gòu)(衛(wèi)生保健、教育機構(gòu))、政府部門發(fā)起攻擊。

REvil可能也吸取了DarkSide的教訓(xùn)，避免被政府的執(zhí)法機構(gòu)打擊造成毀滅性的影響。原來的合作伙伴無需任何批準就可以肆意發(fā)起攻擊，不知道這些新限制則是否會導(dǎo)致合作伙伴轉(zhuǎn)移到其他勒索軟件即服務(wù)(RaaS)的團伙。

參考來源：BleepingComputer