Darkside, le groupe dont le ransomware avait bloqué un pipeline américain la semaine passée, a déclaré avoir perdu le contrôle de son blog et de ses serveurs web, ainsi que de l'adresse bitcoin qui lui servait au paiement des rançons, s'étonne The Record.
Darkside venait par ailleurs de s'excuser après que Colonial Pipeline lui avait versé une rançon d'un peu moins de 5 millions de dollars.
Brian Krebs précise que le gang aurait également déclaré vouloir fournir des outils de décryptage aux entreprises victimes de son ransomware et n'ayant pas encore payé de rançon.
Elliptic avait pour sa part identifié le portefeuille bitcoin de Darkside, qui avait reçu 57 paiements depuis mars 2021, totalisant 17,5 millions de dollars. Les 5 millions qui y restaient ont été transférés ce jeudi, sans que l'on sache à ce stade qui l'a vidé ni comment.
The Record rappelle que lors de deux conférences de presse, Joe Biden avait déclaré la semaine passée que « nous ne pensons pas que le gouvernement russe ait été impliqué dans cette attaque, mais nous avons de bonnes raisons de croire que les criminels qui ont commis l'attaque vivent en Russie ».
Il avait également expliqué avoir « été en communication directe avec Moscou sur l'impératif pour les pays responsables de prendre des mesures décisives contre ces réseaux de ransomwares », et annoncé vouloir « perturber leur capacité à fonctionner ».
Le groupe, s'interroge The Record, pourrait avoir profité de ces déclarations pour fermer son infrastructure et s'enfuir avec l'argent sans avoir à payer ses prestataires, une tactique connue sous le nom d'« exit scam » et régulièrement pratiquée sur les places de marché des darknets.
Quelques heures plus tard, le porte-parole de REvil (pour Ransomware Evil) a pour sa part annoncé qu'il prévoyait d'arrêter de faire de la publicité de sa plateforme de ransomware-as-a-service (RaaS), et de ne plus travailler qu'avec un petit groupe de collaborateurs connus et de confiance.
Il a également expliqué qu'il serait désormais interdit d'attaquer le « secteur social » (défini comme les établissements de santé et d'enseignement) et les organisations du « secteur gouvernemental » (État) de n'importe quel pays. Les affiliés devront en outre obtenir une approbation avant d'infecter les victimes.
Dans la foulée, les opérateurs du ransomware Avaddon ont eux aussi annoncé des mises à jour similaires de leur programme, afin d'éviter de s'attaquer à ces cibles, au risque d'être eux aussi ciblés par les autorités et services de renseignement américains.
Jeudi, l'administrateur du populaire forum russe XSS avait de même annoncé que la communauté n'autoriserait plus les fils de discussion sur les programmes de rançongiciel : « Il y a trop de publicité », a expliqué l'administrateur XSS. « Les ransomwares ont rassemblé une masse critique d'absurdités, de conneries, de battage médiatique et d'histoires autour de cela. Le mot "ransomware" est devenu dangereux et toxique ».
Commentaires