Darkside, grupul de ransomware care a întrerupt distribuția benzinei în SUA în această săptămână, nu mai are prezență pe internet, nefiind clar dacă grupul a fost destructurat, se suspendă, își modifică operațiunile sau pur și simplu orchestrează o înșelătorie de ieșire.
De joi, toate cele opt site-uri web pe care Darkside le folosea pentru a comunica cu publicul, nu mai pot fi accesate. Peste noapte, o postare atribuită lui Darkside susținea, fără a furniza nicio dovadă, că site-ul grupului și infrastructura de distribuție a conținutului au fost confiscate de forțele de ordine, împreună cu criptomonezile pe care le-au încasat de la victime.
„În acest moment, aceste servere nu pot fi accesate prin SSH, iar serverele de găzduire au fost blocate”, se arăta în postare.
„La câteva ore după sechestru, fondurile de la serverul de plăți (aparținând nouă și clienților noștri) au fost retrase la un cont necunoscut.” , au transmis cei de la Darkside.
În postare, Darkside afirmă că va distribui gratuit un decriptor tuturor victimelor care nu au plătit încă o răscumpărare. Până în prezent, nu există rapoarte privind faptul că grupul și-ar fi respectat această promisiune. Potrivit cifrelor prezentate de firma de urmărire a criptomonedelor Chainalysis, Darkside a încasat cel puțin 60 de milioane de dolari în primele șapte luni, din care 46 de milioane de dolari în primele trei luni ale acestui an.
Există suspiciunea unui serviciu ascuns Tor, fapt care ar fi o lovitură uriașă. Ar însemna că fie grupul a comis o eroare majoră de configurare la activarea serviciului, fie oamenii legii știu de o vulnerabilitate gravă în modul în care funcționează dark web.
Analiștii Intel471 spun că o parte din infrastructura Darkside este publică astfel încât malware-ul să se poată conecta la aceasta. Până în prezent nu există dovezi care să confirme aceste afirmații.
De obicei, atunci când forțele de ordine din SUA și țările din Europa confiscă un site web, acestea postează o notificare pe prima pagină a site-ului care dezvăluie confiscarea. Mai jos este un exemplu de ceea ce au văzut oamenii după ce au încercat să viziteze site-ul grupului Netwalker după ce a fost confiscat:
Până acum, niciunul dintre site-urile Darkside nu afișează o astfel de notificare. Ceea ce este și mai îndoielnic este afirmația că au fost confiscate criptomonedele grupului. Oamenii cu experiență în utilizarea monedei digitale știu să nu o stocheze în „portofele electronice”, care în fapt sunt seifuri digitale conectate la Internet.
Deoarece portofelele electronice conțin cheile private necesare pentru a transfera fonduri către alte conturi, acestea sunt vulnerabile la piratare și la tipul de confiscare menționat în postare. Pentru ca autoritățile să poată confisca moneda digitală, operatorii Darkside ar fi trebuit să o stocheze într-un portofel electronic, iar schimbul valutar utilizat de Darkside să fi fost interceptat de autorități.
Chainalysis a identificat portofele electronice care au primit fonduri de la Darkside, iar forțele de ordine au blocat conturile. Elliptic, o companie independentă de analize blockchain, a raportat că a găsit un portofel electronic Bitcoin folosit de DarkSide pentru a încasa plăți de la victimele sale. Joi, a raportat Elliptic, portofelul electronic a fost debitat cu 5 milioane de dolari.
În prezent, nu se știe dacă transferul a fost inițiat de FBI, de alte autorității sau de Darkside însuși. Oricum ar fi, Elliptic a spus că portofelul electronic, care de la începutul lunii martie primise 57 de plăți de la 21 de portofele diferite, oferea indicii importante pe care anchetatorii să le urmeze.
„Ceea ce constatăm este că 18% din Bitcoin a fost trimis către un grup mic de schimburi. Aceste informații vor oferi forțelor de ordine legături critice pentru a identifica autorii acestor atacuri.” , a transmis Elliptic.
