Après une cyberattaque par ransomware ayant touché et paralysé pendant plusieurs jours l'un des plus importants oléoducs des États-Unis opéré par l'entreprise Colonial Pipeline, le groupe cybercriminel DarkSide a connu une grosse médiatisation.
Avec un ransomware développé pour Windows et un autre pour Linux, DarkSide a mis en place un modèle commercial de Ransomware-as-a-Service (RaaS). Il se prétend apolitique et sans lien avec un quelconque gouvernement, avec pour seule motivation le gain financier.
Le groupe avait ainsi présenté ses excuses, soulignant ne pas vouloir créer des problèmes pour la société et aurait une sorte d'éthique pour ne pas attaquer des hôpitaux, écoles, institutions gouvernementales ou encore ONG.
Une fermeture volontaire ?
Selon Intel 471 et un message publié en russe, DarkSide a annoncé à ses affiliés l'arrêt de son programme de ransomware en tant que service et a indiqué que des outils de déchiffrement seraient fournis aux victimes n'ayant pas encore payé de rançon.
Le groupe fait référence à la pression des États-Unis et évoque la perte de l'accès à la partie publique de son infrastructure, en particulier un blog, serveur de paiement et des serveurs CDN. Des saisies de serveurs, tandis que des fonds de portefeuilles de cryptomonnaies ont été exfiltrés.
L'annonce a provoqué du mouvement au sein d'autres groupes de RaaS, avec la volonté manifeste d'œuvrer désormais de manière plus discrète en faisant une croix sur une médiatisation et une forme de promotion, et avec interdiction de cibler des organisations trop sensibles.
Pour le cas de DarkSide, Recorded Future émet quelques doutes légitimes sur la sincérité de l'annonce. La fermeture de l'infrastructure pourrait être volontaire et pour mettre en place une escroquerie de type exit scam afin de ne pas avoir à payer des associés.
