管道攻击者黑暗势力突然变黑——这是我们所知道的

黑暗面——勒索软件组织汽油供应中断本周，该组织在美国大片地区的网络已经消失，目前尚不清楚该组织是在停止、暂停或改变其业务，还是只是在策划一场退出骗局。

周四，所有8个暗网网站都被用来与公众交流下降了，截至出版时，它们仍处于低位。一夜之间，一篇被认为是DarkSide的帖子在没有提供任何证据的情况下声称，该组织的网站和内容分发基础设施，以及从受害者那里收到的加密货币，都被执法部门查封了。

狗吃了我们的基金

“目前，这些服务器无法通过SSH访问，托管面板已被封锁，”根据俄语帖子的翻译，该帖子称上周五公布的安全公司Intel471“托管支持服务不会提供任何信息，除非‘应执法部门的要求’。此外，查封后几个小时，来自支付服务器(属于我们和我们客户)的资金被撤回到一个未知账户。”

该帖子继续声称，黑暗军团将免费向所有尚未支付赎金的受害者分发解密器。到目前为止，还没有报道称该组织兑现了这一承诺。

如果这是真的，这将是执法部门的一次重大突破。根据最新公布的数字根据加密货币跟踪公司Chainalysis的数据，DarkSide在前七个月至少净赚了6000万美元，其中4600万美元来自今年前三个月。

识别Tor隐藏服务也将是一个巨大的得分，因为这可能意味着要么该组织在设置服务时犯了重大配置错误，要么执法部门知道暗网的运作方式存在严重漏洞。(Intel471分析师表示，DarkSide的一些基础设施是面向公众的——这意味着常规互联网——因此恶意软件可以连接到它。)

但到目前为止，还没有证据公开证实这些不同寻常的说法。通常情况下，当美国和西欧国家的执法部门查封一个网站时，他们会在网站首页发布通知，披露查封情况。下面是一个例子，在网站被关闭后，人们试图为Netwalker小组访问该网站后所看到的:

到目前为止，还没有一个DarkSide网站显示这样的通知。相反，他们中的大多数会超时或显示空白屏幕。

更令人怀疑的是，据称该组织持有的大量加密货币已被窃取。在使用数字货币方面有经验的人都知道不要把它存储在“热钱包”中，这是连接到互联网的数字金库。因为热钱包包含将资金转移到新账户所需的私钥，所以它们很容易受到黑客攻击和帖子中声称的那种查获。

为了让执法部门没收数字货币，黑暗势力运营商可能不得不将其存储在一个热钱包中，而黑暗势力使用的货币交易所必须与执法机构合作，否则就会被黑客入侵。

Chainalysis等组织的密切跟踪也有可能确定了从DarkSide接收资金的钱包，执法部门随后没收了这些钱包。事实上，Elliptic，一家独立的区块链分析公司，报告称发现了一个DarkSide使用的比特币钱包从受害者那里得到赔偿。周四，Elliptic报道称，钱包被掏空了500万美元。

目前，尚不清楚这次转移是由FBI或其他执法机构发起的，还是由DarkSide自己发起的。不管怎样，Elliptic说，这个自3月初以来收到了来自21个不同钱包的57笔付款的钱包为调查人员提供了重要线索。

Elliptic联合创始人兼首席科学家汤姆·罗宾逊写道:“我们发现，18%的比特币被发送到一小群交易所。”“这些信息将为执法部门提供关键线索，以确定这些袭击的肇事者。”

胡说八道，炒作和噪音

DarkSide发表这篇文章的同时，一个名为XSS的著名地下犯罪论坛宣布禁止所有勒索软件活动，这是过去的一个重大转变。该网站以前是勒索软件组织REvil、Babuk、DarkSide、LockBit和Nefilim招募附属机构的重要资源，这些附属机构使用恶意软件感染受害者，作为交换，他们可以分享所产生的收入分成。几个小时后，所有发到XSS上的黑暗势力帖子都被删除了。

在一个星期五晨报，安全公司Flashpoint写道:

根据XSS管理员的说法，这一决定部分是基于论坛和勒索软件运营商之间的意识形态差异。此外，媒体对高调事件的关注导致了“废话、炒作和噪音的临界质量”。XSS的声明为其决定提供了一些理由，特别是勒索软件集体及其伴随的攻击正在产生“太多的公关”，并将地缘政治和执法风险提高到“危险[ous]水平”。

XSS的管理员还声称，当“佩斯科夫(俄罗斯总统的新闻秘书弗拉基米尔·普京)被迫在我们的海外‘朋友’面前找借口时，这有点过分了。”他们超链接了俄罗斯新闻网站《生意人报》(Kommersant)上一篇题为“俄罗斯与针对美国输油管道的黑客攻击无关”的文章，以此作为这些说法的依据。

几个小时内，另外两个地下论坛——exploit论坛和Raid论坛——也禁止了与勒索软件相关的帖子，根据推特上流传的图片。

与此同时，REvil公司表示，它正在禁止对医疗保健、教育和政府组织使用其软件报道。

勒索软件处于十字路口

XSS和REvil的举动在短期内对勒索软件生态系统造成了重大破坏，因为他们删除了一个关键的招聘工具和收入来源。长期影响则不太清楚。

Intel471分析师在一封电子邮件中表示:“从长远来看，很难相信勒索软件生态系统会完全消失，因为运营商都是出于经济动机，所采用的方案也很有效。”他们表示，勒索软件组织更有可能“私有化”，这意味着他们将不再在公共论坛上公开招募分支机构，或者将撤销目前的业务，以新的名称重新命名。

勒索软件组织还可能改变目前加密数据的做法，使受害者无法使用数据，同时下载数据并威胁要将其公之于众。这种双重勒索的方法旨在增加受害者支付的压力。Babuk勒索软件组织最近开始逐步停止使用加密数据的恶意软件，同时维持其博客，公布受害者的姓名和羞辱，并发布他们的数据。

Intel471分析师在电子邮件中写道:“这种方法使勒索软件运营商可以从敲诈勒索事件中获益，而不必应对扰乱医院或关键基础设施业务连续性所造成的公众后果。”

目前，唯一能证明DarkSide的基础设施和加密货币被查封的证据是已承认犯罪分子的话，几乎不足以考虑确认。

安全公司Emsisoft的威胁分析师布雷特·卡洛告诉Ars:“我可能错了，但我怀疑这只是一个出口骗局。”“黑暗势力可以扬帆出海，驶向夕阳——或者更有可能是重新扬帆起航——而不需要与他们的犯罪伙伴分享不义之财。”