美国管道勒索软件攻击者在服务器和比特币被扣押后陷入黑暗

一周前，在一起严重的勒索软件事件发生后，Colonial Pipeline将其所有系统恢复到可操作状态。就在此时，发动袭击的网络犯罪集团DarkSide声称，它失去了对其基础设施的控制，理由是执法部门扣押了该系统。

该团伙运营的所有黑暗网站，包括其“黑边泄密”博客、赎金收集网站和漏洞数据内容交付网络（CDN）服务器，在撰写本文时已变得黑暗，无法访问。此外，据黑边运营商发给其附属公司的一份说明，他们的加密货币钱包中的资金据称被外泄到了一个未知账户。

“目前，这些服务器无法通过SSH访问，主机面板已被阻止，”英特尔471获得的公告写道。

The development comes as DarkSide closed its Ransomware-as-a-Service (RaaS) affiliate program for good "due to the pressure from the U.S.", with the group stating that they would issue decryptors to all their affiliates for the companies that were attacked, along with a promise to compensate all outstanding financial obligations by May 23.

虽然此次撤军标志着殖民地输油管道事件中的一个意外转折，但值得注意的是，没有证据公开证实这些说法，这引发了人们的担忧，即这可能是一个出口骗局，一种近年来一直困扰着非法黑暗市场的秘密策略，或者，该团伙给人的印象是，它正在从聚光灯下撤退，只是为了重新塑造品牌，并以另一种形式悄悄地继续其业务，而没有引起不必要的注意。

根据区块链分析公司椭圆公司的数据，黑暗勒索者使用的比特币钱包在5月8日收到了Colonial Pipeline支付的75 BTC（440万美元），之后钱包在5月13日被清空了500万美元的比特币。该钱包自3月4日起一直处于活动状态，共收到来自21个不同钱包的57笔付款，共计1750万美元。据估计，自2020年8月出现在威胁领域以来，DarkSide至少赚了6000万美元。

“有人猜测比特币被美国政府没收了—；如果是这样的话，他们实际上没有没收殖民地管道的大部分赎金—；其中大部分是在5月9日从钱包中取出的，”椭圆联合创始人汤姆·罗宾逊说。

椭圆表示，通过追踪过去从钱包流出的加密货币，18%的比特币被送到了一小部分交易所，另外4%被送到了海德拉，海德拉是世界上最大的黑暗集市，为俄罗斯和东欧的客户提供服务。根据ChainAnalysis的数据，2020年，Hydra占据了全球暗黑市场收入的75%以上，将其定位为加密犯罪领域的主要参与者。

在殖民地管道攻击之后，黑边的操作挫折和更严格的审查也引发了RaaS对XSS、剥削和袭击论坛等非法网络犯罪论坛的禁令浪潮，对勒索软件经济造成了重大的短期破坏。作为众多勒索软件集团之一的REvil，自那以后引入了新的限制，禁止对任何国家的医疗、教育和政府实体使用其软件。

从这个角度来看，XSS、Exploit和REvil的行为可以被解释为过去一周发生的一系列备受瞩目的勒索软件事件的“连锁反应”，包括大都会警察局的巴布克事件，越来越多地将网络犯罪集团置于执法部门的关注焦点。

Flashpoint说：“不过，不用说，鉴于勒索软件在网络犯罪社区中的流行程度，在可预见的未来，它们将仍然是一个持久的威胁。”。“如果说有什么区别的话，勒索软件攻击的规模和频率可能会继续增长。黑边关闭后，勒索软件领域由四个主要群体主导：REvil、LockBit、Avaddon和Conti。”

鉴于XSS和Exploit拒绝在其平台上托管RaaS业务，勒索软件集团预计将私有化，并通过自己的泄密网站为新分支机构招聘广告。