U.S. Pipeline Ransomware Angreifer gehen dunkel, nachdem Server und Bitcoin beschlagnahmt wurden

Cyber Security News

Gerade als Colonial Pipeline nach einem lähmenden Ransomware-Vorfall vor einer Woche alle Systeme wieder in Betrieb genommen hatte, behauptete DarkSide, das Cybercrime-Syndikat hinter dem Angriff, die Kontrolle über die Infrastruktur verloren zu haben, und berief sich dabei auf eine Beschlagnahmung durch die Strafverfolgungsbehörden.

Alle dunklen Websites, die von der Bande betrieben wurden, einschließlich des DarkSide Leaks-Blogs, der Lösegeldsammelstelle und der Content-Delivery-Network (CDN)-Server für Datenverletzungen, sind dunkel geworden und bleiben zum Zeitpunkt des Schreibens unzugänglich. Darüber hinaus wurden die Gelder aus ihren Kryptowährungs-Brieftaschen angeblich auf ein unbekanntes Konto exfiltriert, laut einer Notiz, die von DarkSide-Betreibern an ihre Partner weitergegeben wurde.

“Im Moment kann auf diese Server nicht über SSH zugegriffen werden, und die Hosting-Panels wurden blockiert”, hieß es in der von Intel 471 erhaltenen Mitteilung.

[Blocked Image: https://thehackernews.com/images/-F6uIYIM1HU4/YHc_zlYQIjI/AAAAAAAA3ww/LiZQUqk8VF4NmFffFdQLXkunBuUDOa4FgCLcBGAsYHQ/s300-e100/thn-300-5.png]

Die Entwicklung kommt zu einem Zeitpunkt, an dem DarkSide sein Ransomware-as-a-Service (RaaS)-Partnerprogramm endgültig geschlossen hat. Die Gruppe gab an, dass sie allen ihren Partnern Entschlüsselungsprogramme für die angegriffenen Unternehmen ausstellen würde, zusammen mit dem Versprechen, alle ausstehenden finanziellen Verpflichtungen bis zum 23. Mai zu kompensieren.

Während die Takedowns eine überraschende Wendung in der Colonial Pipeline-Saga markieren, ist es erwähnenswert, dass es keine Beweise gibt, um diese Behauptungen öffentlich zu bestätigen, was Bedenken aufkommen lässt, dass dies ein Exit-Betrug sein könnte, eine hinterhältige Taktik, die illegale Darknet-Märkte in den letzten Jahren geplagt hat, oder dass die Bande den Eindruck erweckt, dass sie sich aus dem Rampenlicht zurückzieht, nur um sich umzubenennen und ihre Operationen in einem anderen Format heimlich fortzusetzen, ohne unerwünschte Aufmerksamkeit zu erregen.

Laut dem Blockchain-Analyseunternehmen Elliptic erhielt die von der DarkSide-Ransomware-Gruppe verwendete Bitcoin-Wallet am 8. Mai eine Zahlung von 75 BTC (3,2 Millionen US-Dollar) von Colonial Pipeline, woraufhin die Wallet am 13. Mai um 5 Millionen US-Dollar in Bitcoin geleert wurde. Die Wallet, die seit dem 4. März aktiv ist, hat insgesamt 57 Zahlungen in Höhe von 17,5 Mio. $ von 21 verschiedenen Wallets erhalten.

[Blocked Image: https://thehackernews.com/images/-U-KRecWs4is/YKIX5Dt4mmI/AAAAAAAACi8/CcauQ_HbngglLBBgvwcw1Z_PVO9IxASTgCLcBGAsYHQ/s0/ransomware.jpg]

“Es gab Spekulationen, dass die Bitcoins von der US-Regierung beschlagnahmt wurden – wenn das der Fall ist, haben sie nicht wirklich den größten Teil der Lösegeldzahlung von Colonial Pipeline beschlagnahmt – der Großteil davon wurde am 9. Mai aus der Wallet verschoben”, sagte Elliptic-Mitbegründer Tom Robinson.

Durch die Verfolgung der vergangenen Kryptowährungsabflüsse aus der Brieftasche sagte Elliptic, dass 18 % der Bitcoin an eine kleine Gruppe von Börsen gesendet wurden, mit zusätzlichen 4 %, die an Hydra gesendet wurden, den weltweit größten Darknet-Basar, der Kunden in Russland und Osteuropa bedient. Hydra macht über 75% der Darknet-Markt Umsatz weltweit in 2020, Positionierung es als ein wichtiger Akteur in der Krypto-Kriminalität Landschaft, pro Chainalysis.

Die operativen Rückschläge von DarkSide und die erhöhte Aufmerksamkeit für den Colonial Pipeline-Angriff haben auch eine Welle von RaaS-Verboten auf illegalen Cybercrime-Foren wie XSS und Exploit in Gang gesetzt, was eine große kurzfristige Störung der Ransomware-Wirtschaft darstellt. REvil, eine der produktivsten Ransomware-Gruppen, hat inzwischen neue Beschränkungen eingeführt, die den Einsatz ihrer Software gegen Einrichtungen des Gesundheitswesens, des Bildungswesens und der Regierung eines beliebigen Landes verbieten.

In diesem Zusammenhang können die Aktionen von XSS, Exploit und REvil als “Ripple-Effekt” einer Reihe von hochkarätigen Ransomware-Vorfällen in der vergangenen Woche interpretiert werden, darunter der von Babuk auf das Metropolitan Police Department, wodurch Cybercrime-Gruppen zunehmend ins Fadenkreuz der Strafverfolgungsbehörden geraten.

“Es ist jedoch so gut wie sicher, dass Ransomware angesichts ihrer Popularität und Beliebtheit in der Cyberkriminellen-Community auf absehbare Zeit eine anhaltende Bedrohung bleiben wird”, so Flashpoint. “Wenn überhaupt, dann werden Ransomware-Angriffe sowohl in ihrem Umfang als auch in ihrer Häufigkeit wahrscheinlich weiter zunehmen. Nach der Schließung von DarkSide wird die Ransomware-Landschaft von vier großen Kollektiven dominiert: REvil, LockBit, Avaddon und Conti.”

Angesichts der Weigerung von XSS und Exploit, RaaS-Operationen auf ihren Plattformen zu hosten, wird erwartet, dass die Ransomware-Kollektive in die Privatwirtschaft gehen und über ihre eigenen Leak-Sites für die Rekrutierung neuer Partner werben.

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com