網路威脅情報分析師Dmitry Smilyanets發現,駭客集團DarkSide在俄羅斯地下論壇宣布他們無法存取自家伺服器,控制臺也被封鎖(左圖)。另外根據Intel 471取得的資訊,DarkSide也宣布停止提供勒索軟體即服務(右圖)。(圖片來源/Dmitry Smilyanets、Intel 471)

網路威脅情報分析師Dmitry Smilyanets於5月13日在俄羅斯駭客論壇Exploit上發現一則訊息,宣稱攻擊美國最大燃油管道系統Colonial Pipeline的勒索軟體集團DarkSide,對外宣布已無法存取自家的部份基礎設施,包括部落格 、支付伺服器,以及SDN伺服器,疑已遭到執法機關扣押。

根據該訊息,DarkSide集團說他們已無法存取這些伺服器,控制臺已經被封鎖,存取時只看見「依執法機關的請求」字眼,此外,原本置放在支付伺服器上的資金,也已被移轉到其它的地址。

美國媒體猜測DarkSide伺服器被扣押,可能跟該集團攻擊Colonial Pipeline有關。DarkSide在5月7日攻擊Colonial Pipeline,讓Colonial Pipeline關閉了負責美國東岸45%燃油供應的所有管線,造成美國油價上漲,此事也驚動了美國政府,宣布進入緊急狀態,美國總統拜登(Joe Biden)也在13日針對此事發布評論,指出DarkSide為來自俄羅斯的駭客集團,雖與俄羅斯政府無關,但希望俄羅斯政府能夠採取行動對抗這些勒索軟體網路,同時美國也會採取行動來破壞DarkSide的營運能力。

目前並不確定是否真有其事,美國並未發表官方聲明,亦拒絕評論,而Smilyanets也警告這可能只是DarkSide集團的詭計,利用拜登的說法順水推舟,就能不必把犯罪所得交給會員。

不論如何,DarkSide駭客集團在13日宣布,將立即停止DarkSide的勒索軟體即服務(RaaS),將提供所有受害者的解密金鑰予會員,並在23日以前解決所有財務義務。

另一方面,資安業者Digital Shadows發現,其實勒索軟體在駭客論壇中並不受到歡迎,而且包括XSS、Exploit與RaidForums等知名的駭客論壇都在Colonial Pipeline事件之後,全面封鎖了勒索軟體,禁止勒索軟體於論壇中銷售、租賃或是招募會員,更於論壇中全面清除勒索軟體的蹤跡。

根據Digital Shadows與Smilyanets的分析,駭客論壇排擠勒索軟體的最大原因為,這些勒索軟體吸引了太多媒體的關注,進而讓執法機關把目標對準駭客論壇,其它原因還包括了它們也同樣吸引了新手駭客,使得絕大多數的新手駭客都跑去學習加密勒索,並加密他們所看到的任何東西,這些論壇希望平臺上有其它技術的交流,此外,也有論壇認為勒索軟體太不道德了。

專門提供加密貨幣合規解決方案的Elliptic指出,該公司找到了DarkSide集團所使用的比特幣錢包,顯示該錢包自今年3月啟用之後,已收到來自21個不同錢包的57筆付款,總價值超過1,750萬美元,其中,Colonial Pipeline在5月8日支付了75個比特幣。以5月16日每個比特幣為4.89萬美元來計算,總價約為366萬美元。

此外,東芝技術集團(Toshiba Tec Group)在歐洲的子公司,近日也傳出遭到DarkSide勒索軟體的攻擊,目前確定受到波及的範圍僅限於歐洲的某些區域,但尚不確定客戶資訊是否已經外洩。

東芝技術集團專門銷售自助結帳系統與PoS系統予零售商。根據CNBC的報導,DarkSide攻擊東芝的時間點是在5月4日,比Colonial Pipeline還早,但東芝並未聯繫駭客也未支付贖金。


熱門新聞

Advertisement