ה-"נקמה": שרתי הקבוצה שתקפה את קולוניאל הופלו וכספי הכופר נמשכו

לפי דיווח שפורסם אתמול, שבוע לאחר שתקפה בסייבר את קולוניאל פייפליין (Colonial Pipeline) ושיתקה את צינור הדלק הארוך ביותר בארה"ב – הופלו השרתים של קבוצת ההאקרים Darkside, שגם הודתה בתקיפה, ולפי השערות יושבת ברוסיה או במזרח אירופה.

חברת אבטחת הסייבר Recorded Future צייצה בטוויטר, כי "יום לאחר שהנשיא ג'ו ביידן אמר שארצות הברית מתכננת לפגוע בהאקרים שמאחורי תקיפת הסייבר של קולוניאל פייפליין, המפעיל של כופרת Darkside אמרה, כי הקבוצה איבדה שליטה על שרתי האינטרנט שלה וחלק מהכספים שהרוויחה מתשלומי הכופר".

A day after President Joe Biden said the US plans to disrupt the hackers behind the Colonial Pipeline cyberattack, the operator of the Darkside ransomware said the group lost control of its web servers and some of the funds it made from ransom payments https://t.co/ALfQ70QmI8

— The Record by Recorded Future (@TheRecord_Media) May 14, 2021

חיפוש קבוצת ההאקרים באמצעות TOR ברשת האפלה הוביל לדף דף עם הודעה שאי אפשר למצוא אותה.

דימיטרי סמיליאנטס, אנליסט למודיעין איומים מחברת האבטחה צייץ בטוויטר, כי מצא באתר כופרה הערה ברוסית הקושרת בין Darkside לקבוצת Darksupp המפעילה אותה. בציוץ שלו בטוויטר צוטטה ההודעה של קבוצת Darksupp, שבה היא מציינת: "לפני כמה שעות איבדנו גישה לחלק הציבורי של התשתיות שלנו, כלומר לבלוג, לשרת התשלומים ולשרתי DOS". בנוסף, כותבת הכנופייה, כי הכספים שהגיעו מקורבנות הסחיטה שלה במטבעות קריפטו נמשכו משרת התשלומים שלה והועברו לכתובת לא ידועה.

בעוד שאין כל מידע על מי יכול היה להפיל את השרתים של Darkside, חשבון הטוויטר של קבוצת לוחמה בסייבר של הצבא האמריקני, שנקראת הבריגדה ה-780 למודיעין צבאי, צייצה בחשבון שלה את ההודעה Recorded Future.

Darkside מודיעה: נפסיק לפעול

בתוך כך, הקבוצה הודיעה כי בעקבות "לחצים" מצד ארצות הברית – היא מפסיקה לפעול.

במכתב שנכתב ברוסית והועבר לניו יורק טיימס בסוף השבוע, מציינת קבוצת ההאקרים את האמור לעיל ומוסיפה, כי "לאור הלחצים מצד ארצות הברית, תוכנית השותפים נסגרת", כשהכוונה בשותפים היא להאקרים מתווכים שהקבוצה עובדת איתם כדי לפרוץ למערכות המחשוב של ארגונים, ומסיימת את מכתבה במילים: "הישארו בטוחים ובהצלחה".

לא ברור לאילו לחצים מתכוונת הקבוצה, אבל ייתכן שהבטחתו של ביידן קוימה. מכל מקום, גורמים ממשלתיים רשמיים סירבו לומר האם אכן ננקטה פעולה.

אנליסטים בתחום אבטחת סייבר הזהירו, כי ההצהרה של Darkside עשויה להיות תחבולה, כדי לאפשר לחבריה ליצור קבוצה חדש ולהסיט מעצמה את תשומת הלב השלילית בשל התקיפה.