Le groupe DarkSide se serait-il brulé les ailes ?

Le groupe DarkSide, notamment connu pour proposer un Ransomware As A Service (RaaS) du même nom, a récemment annoncé au sein d’un forum russophone avoir perdu les accès à ses serveurs (blog, paiement, et déni de service). Ce communiqué fait suite à la déclaration de Joe Biden prévoyant de perturber le réseau de ransomware, en réponse de l’extorsion du groupe américain Colonial Pipeline.

Le ransomware DarkSide déployé au sein des infrastructures de Colonial Pipeline

Supposé actif depuis neuf mois, le groupe DarkSide est notamment chargé de développer et maintenir un service de Ransomware (RaaS). Via ce logiciel malveillant, le groupe propose à des utilisateurs tiers (appelés « affiliés ») d’infecter le système informatique d’une cible et de négocier la rançon. En contrepartie, le groupe récupère un pourcentage du montant de cette rançon. Avec ses activités, DarkSide a amassé près de 90 millions de dollars de rançon en bitcoins, provenant de 47 portefeuilles distincts. Un post Twitter de l’utilisateur DarkTracer, spécialisé dans l’investigation sur le Darkweb, a pu regrouper 99 victimes infectées par ce malware. Par déduction, le paiement moyen de la rançon serait de 1,9 million de dollars. A noter que près de la moitié des victimes ont effectué le paiement de la rançon.

Parmi ses récentes victimes, figure le groupe américain Colonial Pipeline gérant un important réseau d’oléoducs et de raffineries dans le sud-est des États-Unis. Les oléoducs de Colonial Pipeline transportent plus de 2,5 millions de barils de carburants par jour, représentant 45% de la consommation en carburant liquide de la côte est des États-Unis. Le ransomware DarkSide a été déployé au sein des infrastructures du groupe le 7 mai dernier, paralysant l’acheminement du carburant dans le sud-est des États-Unis, et provoquant ainsi la pénurie et la montée en flèche des prix.

Pour évaluer la nature et l’impact de cette attaque, l’entreprise s’est rapprochée du groupe FireEye (Mandiant). La criticité de cette paralysie a été telle qu’elle a engendré la mise en place de l’état d’urgence aux États-Unis. De son côté, ne sachant pas le délai nécessaire pour le rétablissement des systèmes, le PDG de Colonial Pipeline a déclaré au Wall Street Journal avoir autorisé le paiement de la rançon s’élevant à 4,4 millions de dollars (115 BTC).

Les conséquences médiatiques et sociales de cette attaque

Très médiatisée du fait des conséquences critiques qu’elle engendrait, cette attaque a été relayée jusqu’au plus haut sommet de l’état américain. Le lundi 10 mai, le président Joe Biden a déclaré être personnellement informé chaque jour de la situation des oléoducs. L’origine de ce ransomware est encore inconnue bien que la piste russe ait été évoquée par des chercheurs en cybersécurité. Le malware évitant notamment le chiffrement des systèmes dont le langage était paramétré en russe. Interpellé par cette supposition, le président américain est entré en contact avec le président russe, Vladimir Poutine afin de prendre des mesures contre les attaquants et le groupe responsable.

Le même jour, le groupe DarkSide a posté sur son site ne pas être responsable directement des cibles de ses affiliés :

Traduit par : « Nous sommes apolitiques, nous ne participons pas à la géopolitique, il n’est pas nécessaire de nous lier à un gouvernement défini et de chercher d’autres motivations. Notre but est de faire de l’argent et de ne pas créer de problèmes pour la société. A partir d’aujourd’hui, nous introduisons la modération et vérifions chaque entreprise que nos partenaires veulent chiffrer pour éviter des conséquences sociales dans le futur. »

Le jour suivant, un porte-parole du groupe du ransomware a posté un message sur le forum russophone baptisé « Exploit » afin de prévenir que les accès des serveurs liés au service du ransomware DarkSide avaient été coupés. Ces accès sont notamment liés au blog, au serveur de paiement ainsi qu’aux serveurs utilisés pour perpétrer des attaques de déni de service. De plus, le porte-parole du groupe a révélé que les fonds du serveur de paiement (ceux du groupe et des clients) avaient été retirés et transférés vers une adresse inconnue.

Toute l’agitation autour de cette attaque a mis en péril l’économie des autres groupes proposant des services de ransomwares ainsi que celle des forums liés de près ou de loin à la promotion de ces services. En se basant sur l’expérience de DarkSide, REvil a publié de nouvelles règles encadrant les actions de ses affiliés : Les partenaires s’attaquant à tout gouvernement, ou organisation publique, institutionnelle, ou de santé seront exclus et les outils de déchiffrement seront fournis gratuitement aux victimes. Un administrateur du forum russophone XSS a également banni toute publicité liée à des activités de ransomwares sur le forum, largement utilisée pour attirer de nouveaux affiliés.

In fine, plusieurs hypothèses circulent afin d’expliquer la disparition de DarkSide :

• La première met en avant la pression politique des États-Unis et de la Russie, forçant le groupe à se faire oublier.
• La seconde serait la mise en place d’une arnaque de type « exit scam » permettant au groupe de partir avec les fonds de leurs partenaires. Cette dernière théorie s’appuie notamment sur l’absence d’un message officiel de saisie sur les sites de DarkSide.

Les retentissements de cette attaque (au niveau des médias et des gouvernements) ont provoqué chez les RaaS une réaction avec la mise en place de nouvelles règles pour limiter les réactions épidermiques des autorités et des forces de l’ordre. En l’état, il est impossible à l’heure actuelle de savoir si la disparition de DarkSide est une décision du groupe prise volontairement ou si elle leur a été imposée au plus haut niveau. Reste à savoir si les autres services de RaaS vont s’aligner sur ces nouvelles « bonnes pratiques » …