A morte do grupo Darkside deixa espaço para um novo conjunto de ameaças
No final de maio, a notória gangue DarkSide fez um grande anúncio de dissolução de sua operação RaaS após a crescente pressão das autoridades dos EUA após o ataque ao Oleoduto Colonial.
Ela informou suas afiliadas sobre a perda de acesso aos servidores públicos, um dos motivos do desligamento. No entanto, essa decisão abrupta deixou muitos de seus afiliados desertos, alguns deles reclamando de não serem pagos por suas atividades anteriores.
Quanto o DarkSide ganhou?
- Desde sua criação em agosto de 2020, a gangue de ransomware DarkSide e suas afiliadas lançaram uma onda de crimes global que afeta organizações em mais de 15 países e diferentes setores da indústria.
- Em nove meses, eles haviam feito pelo menos US $ 90 milhões com o pagamento do resgate.
- Bleeping Computer acrescenta que a gangue arrecadou cerca de US $ 9 milhões em apenas uma semana com os ataques a Colonial Pipeline e Brenntag.
- Embora o DarkSide tenha fechado sua loja agora, os afiliados que receberam as chaves de descriptografia correspondentes continuam a extorquir as vítimas por resgate.
Os novos desenvolvimentos
- Recentemente, os pesquisadores da FireEye revelaram que UNC2465, uma das afiliadas do grupo de ransomware DarkSide, mudou seu foco para ataques à cadeia de suprimentos de software.
- O grupo tinha como alvo pelo menos uma de suas vítimas plantando instaladores de software trojanizado para download no site da empresa da vítima.
- Isso permitiu que o grupo comprometesse a rede interna da empresa vítima e plantasse malware backdoor SMOKEDHAM, que mais tarde deixava cair o NGROK no computador do funcionário vítima. Ele também usou outro malware chamado BEACON.
- Uma vez que o ransomware Darskide não estava envolvido neste caso, os pesquisadores acreditam que ‘grupos afiliados que conduziram intrusões DarkSide podem usar vários programas afiliados de ransomware e podem alternar entre eles à vontade.’
O que mais está acontecendo?
- Dado o enorme impacto que Darkside criou ao atacar Colonial Pipeline, outros atores de ameaças começaram a usar o nome do ransomware DarkSide para visar organizações no setor de alimentos e energia.
- Um e-mail que finge ser do DarkSide, ameaça os alvos de vazar informações confidenciais se um resgate de 100 bitcoins não for pago.
- O e-mail cria uma sensação de pânico ao alegar que os invasores obtiveram acesso à rede do alvo.
- Além de enviar e-mails para empresas, os invasores também preencheram formulários de contato em sites de várias empresas como parte da estratégia de ataque.
O resultado final
Embora ativo por um curto período de tempo, a gangue de ransomware DarkSide deixou para trás uma grande trilha de espionagem a ser adotada por outros adversários. À luz do número crescente de casos de ataques de ransomware, é altamente provável que os atores de ameaças de baixo nível continuem a aterrorizar organizações em nome da infame gangue ou alavancando suas táticas.
Fonte: https://cyware.com/