DarkSide勒索軟體伺服器疑已遭到扣押

網路威脅情報分析師Dmitry Smilyanets於5月13日在俄羅斯駭客論壇Exploit上發現一則訊息，宣稱攻擊美國最大燃油管道系統Colonial Pipeline的勒索軟體集團DarkSide，對外宣布已無法存取自家的部份基礎設施，包括部落格 、支付伺服器，以及SDN伺服器，疑已遭到執法機關扣押。

根據該訊息，DarkSide集團說他們已無法存取這些伺服器，控制臺已經被封鎖，存取時只看見「依執法機關的請求」字眼，此外，原本置放在支付伺服器上的資金，也已被移轉到其它的地址。

美國媒體猜測DarkSide伺服器被扣押，可能跟該集團攻擊Colonial Pipeline有關。DarkSide在5月7日攻擊Colonial Pipeline，讓Colonial Pipeline關閉了負責美國東岸45%燃油供應的所有管線，造成美國油價上漲，此事也驚動了美國政府，宣布進入緊急狀態，美國總統拜登（Joe Biden）也在13日針對此事發布評論，指出DarkSide為來自俄羅斯的駭客集團，雖與俄羅斯政府無關，但希望俄羅斯政府能夠採取行動對抗這些勒索軟體網路，同時美國也會採取行動來破壞DarkSide的營運能力。

目前並不確定是否真有其事，美國並未發表官方聲明，亦拒絕評論，而Smilyanets也警告這可能只是DarkSide集團的詭計，利用拜登的說法順水推舟，就能不必把犯罪所得交給會員。

不論如何，DarkSide駭客集團在13日宣布，將立即停止DarkSide的勒索軟體即服務（RaaS），將提供所有受害者的解密金鑰予會員，並在23日以前解決所有財務義務。

另一方面，資安業者Digital Shadows發現，其實勒索軟體在駭客論壇中並不受到歡迎，而且包括XSS、Exploit與RaidForums等知名的駭客論壇都在Colonial Pipeline事件之後，全面封鎖了勒索軟體，禁止勒索軟體於論壇中銷售、租賃或是招募會員，更於論壇中全面清除勒索軟體的蹤跡。

根據Digital Shadows與Smilyanets的分析，駭客論壇排擠勒索軟體的最大原因為，這些勒索軟體吸引了太多媒體的關注，進而讓執法機關把目標對準駭客論壇，其它原因還包括了它們也同樣吸引了新手駭客，使得絕大多數的新手駭客都跑去學習加密勒索，並加密他們所看到的任何東西，這些論壇希望平臺上有其它技術的交流，此外，也有論壇認為勒索軟體太不道德了。

專門提供加密貨幣合規解決方案的Elliptic指出，該公司找到了DarkSide集團所使用的比特幣錢包，顯示該錢包自今年3月啟用之後，已收到來自21個不同錢包的57筆付款，總價值超過1,750萬美元，其中，Colonial Pipeline在5月8日支付了75個比特幣。以5月16日每個比特幣為4.89萬美元來計算，總價約為366萬美元。

此外，東芝技術集團（Toshiba Tec Group）在歐洲的子公司，近日也傳出遭到DarkSide勒索軟體的攻擊，目前確定受到波及的範圍僅限於歐洲的某些區域，但尚不確定客戶資訊是否已經外洩。

東芝技術集團專門銷售自助結帳系統與PoS系統予零售商。根據CNBC的報導，DarkSide攻擊東芝的時間點是在5月4日，比Colonial Pipeline還早，但東芝並未聯繫駭客也未支付贖金。