Den ryska hackargruppen Darkside, som tros ligga bakom attacken mot the Colonial Pipeline, har stängt ned sina verksamhet på nätet. Nyligen avslöjades att gruppen fått 5 miljoner dollar för att lämna över dekrypteringsprogrammet som låser upp filerna som som ledde till att den viktiga pipelinen stängdes ned. En utbetalning som också innebar startat för jakten på gruppens medlemmar.

Darkside som trots operera från Ryssland har genomfört en rad attacker, ransomware, mot företag och organisationer. FBI beräknar att gruppen tjänat närmare 15 miljoner dollar på senare år och attacken mot the Colonial Pipeline handlade om det alla Darksides attacker handlar om, pengar. Kort efter attacken bad Darkside om ursäkt och sa att det inte var deras avsikt att slå ut viktiga delar av den amerikanska instrastrukturen, de vill bara tjäna pengar. Gruppen bad om ursäkt via en av deras sidor på Dark Web.

“We are apolitical, we do not participate in geopolitics, do not need to tie us with a defined government and look for other our motives [sic]. Our goal is to make money, and not creating problems for society. From today we introduce moderation and check each company that our partners want to encrypt to avoid social consequences in the future.”

Misstag

Attacken var ett misstag av ett annat skäl – i och med att pipelinen, som förser den amerikanska östkusten med 46 procent av diesel och naturgas slogs ut, så upphöjdes Darkside till att bli ett prioriterat mål för de amerikanska polis-. och underättelseorganisationerna. Gruppen och deras plattform med ransomware dök upp i ryska forum i augusti 2020. Darkside  borde också det alla företag gör – reklam som berättar varför just deras produkt och tjänst är bättre än andras. I det här fallet är produkten ransomware och tjänsten utpressning.

 

Ransomware innebär att vid en attack så krypteras dina bilder, videro, dokument – alla viktiga data med en svårforcerad kryptering. All din information är låst. Kort efter det attacken genomförts kommer så ett upressningsbrev där du får veta att du har en vidd tid på dig att betala en fastställd summa i kryptovaluta om du vill komma åt din information igen.

Jakten

Nu har gruppen försvunnit från nätet. Sannolikt sedan de insett att nu har jakten på dem intensifierats. De servrar som lagrat gruppen digitala plånböcker, för att ta emot betalningar, har beslagtagits och stängts. Polis och underrättelseorganisationer har en del information att gå på. Gruppen har skickat över dekrypteringsprogrammet och The Colonial Pipeline har uppenbarligen varit i kontakt med Darkside. Nu lär all sådan kommunikation vara skyddas på en rad olika sätt men det finns en del digitala spår att följa upp. Gruppen har säkerligen också funnits på FBIs och Homeland Securitys radar under en längre tid och efter attacken mot the Colonial Pipeline så har sannolikt extra medel snabbt anslagits för att intensifiera jakten på Darkside.

Darksides blog är stängd, borta, liksom konton i en del av de digitala mötesplatser där gruppen och dess medlemmar har funnits. Nu ska för tydlighetens skull också sägas att det här inte är webbplatser på det öppna kända nätet. De finns, eller fanns, på the Dark Web, den del av nätet som inte indexeras av nätet sökmotorer.

Darkside har också meddelat att servrar och annan utrustning beslagtagits av myndigheterna. Meddelandet nedan återpublicerades på en kanal på Telegram.

Statsunderstödda attacker

Enligt uttalanden från Vita Huset så finns det just nu inga tecken som tyder på att ryska underrättelseorganisationer ska vara inblandade i Darksides senaste attacker. Det ska därmed inte handla om statsunderstödda attacker.