Intel471在最新发布的报告中透露,根据DarkSide发送给勒索软件会员的消息,“由于美国的压力”,以及面向公众的服务器无法访问,DarkSide决定关闭其运营。根据该消息,下列DarkSide基础设施已经无法通过SSH访问:
- 博客/数据泄漏网站
- 支付服务器(受害者仍然可访问DarkSide的Tor付款服务器,获取解密工具)
- CDN服务器
其中支付服务器中DarkSide及其“客户”的资金被提取到一个未知账户中。
除了宣布终止RaaS业务运营,DarkSide还将所有尚未支付赎金的受害者的解密工具分发给了会员组织,方便他们自行完成“催收”工作。
对美国关键基础设施的攻击给主要勒索软件组织和RaaS勒索软件即服务模式带来了毁灭性打击。不仅是DarkSide,另一个近期活跃的勒索软件组织Babuk也宣称将勒索软件源代码移交给了“另一个团队”,并号召其他勒索软件团伙放弃RaaS模式,改用私人模式。
虽然Babuk保证继续运营,但预计很难找到会员。因为上述公告发布后不久,最流行的俄语网络犯罪论坛之一的管理员宣布立即禁止其论坛上所有与勒索软件相关的活动。该论坛现在禁止勒索软件广告、销售、勒索谈判服务和类似优惠。当前在论坛上的所有列表都将被删除。管理员表示说勒索软件操作变得“越来越有毒”并对地下社区构成危险,当前在论坛上的所有列表都将被删除。
此后不久,REvil的运营商与Avaddon RaaS背后的运营商也发布了一致声明,宣布对其组织的“规则”进行修订,禁止会员针对任何国家和地区的政府、医疗、教育和慈善组织。此外,在实际部署攻击之前,所有目标都需要由勒索软件运营商预先批准。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】