Вымогательская атака на компанию Colonial Pipeline не на шутку переполошила криминальный андеграунд. Напомню, что из-за атаки шифровальщика DarkSide в США возникли проблемы с поставками бензина, дизельного топлива, авиационного топлива и других продуктов нефтепереработки, а в ряде штатов был введен режим ЧС.
Этот громкий инцидент удостоился внимания на самом высшем уровне: президент США Джо Байден заявил, что власти США намерены помешать работе хак-группы, и для этого уже были проведены переговоры с Москвой. В итоге участники DarkSide заявили, что лишилась доступа к своим серверам и многомиллионным выкупам и спешно заявили о прекращении работы.
Излишнее внимание властей не понравилось многим. Так, на прошлой неделе мы рассказывали о том, что по горячим следам этого инцидента администрация хакерских форумов XSS и Exploit запретила рекламировать и продавать на своих ресурсах любые программы-вымогатели. Представитель XSS и вовсе писал, что слово «рансом» в наши дни стало слишком опасным и токсичным.
Теперь к запрету на вымогательское ПО присоединился еще один крупный хакерский форум, RAID. Если на XSS и Exploit размещали рекламу более крупные хак-группы, то на RAID обычно рекламировались начинающие вымогатели.
Происходящее не могло не отразиться и на самих хакерских группах. К примеру, шифровальщик Darkside прекратил работу, как уже было упомянуто выше, а операторы REvil, являющегося одним из крупнейших шифровальщиков на рынке на данный момент, сообщили, что намерены прекратить рекламировать свою RaaS-платформу и впредь будут работать только приватно, то есть с небольшой группой известных и доверенных лиц.
Также REvil планирует прекратить атаковать важные социальные секторы, включая здравоохранение, образование и правительственные сети любых стран мира, так как подобные атаки могут привлечь нежелательное внимание к работе группы. Если кто-то из клиентов все же атакует «запрещенную» компанию или организацию, хакеры намерены предоставить жертвам бесплатный ключ дешифрования, а затем обещают прекратить работу с таким «партнером».
Вслед за REvil о практически аналогичных мерах и ограничениях объявили разработчики другого крупного вымогателя, Avaddon.
У мелких вымогательских групп возникли более серьезные проблемы. Так, в минувшие выходные как минимум две хак-группы, Ako (Razny) и Everest, похоже, вообще свернули свою деятельность.
No, I noticed the extortion site for Everest ransomware go down yesterday, but I wasn't sure if it was offline or just flaky bulletproof hosting. Yesterday I was getting some weird Google CAPTCHA stuff for AKO/RANZY, now nothing. I think we have...a thing. https://t.co/P52XaNSpXo pic.twitter.com/EKeA1seEvv
— Allan “Ransomware Sommelier?” Liska (@uuallan) May 16, 2021
