Le temps tourne-t-il à l'orage pour les cybercriminels ? Mois après mois, police et justice unissent leurs forces dans le cyberespace avec quelques jolis succès à la clé comme Emotet ou encore Sandworm. Si d'autres groupes de cyperpirates tournent volontairement les talons (comme ceux derrière Maze), les actions des autorités finissent par payer comme cela a été aussi récemment le cas avec Babuk ou encore aujourd'hui avec le groupe de cybercriminels DarkSide. Sévissant depuis l'été 2020, ce dernier n'avait jamais cessé depuis de monter en puissance au point de devenir un incontournable de la scène ransomware aux côtés des terribles autant que répandus Netwalker, Ragnarlocker ou encore Nefilim et bien sûr Sodikobini alias REvil.
Dernièrement, le groupe s'était fait remarquer en s'attaquant au géant du transport et de la distribution de produits pétroliers Colonial Pipeline. Commercialisant des logiciels et outils malveillants en mode RaaS (ransomware as a service), DarkSide était parvenu à monter toute une activité très organisée depuis l'année dernière. Non seulement en vendant des outils sur étagère à des tiers mal intentionnés, des boites à outils malveillantes incluant le ransomware et d'autres services associés, mais aussi des prestations de support. Son modèle économique reposant sur des commissions reversées par ses affiliés.
Le service de support DarkSide hors service
Mais la fin de partie a manifestement été sifflée : selon des chercheurs en sécurité d'Intel471, DarkSide a perdu l'accès à une très grande partie de ses infrastructures incluant son blog ainsi que ses serveurs de paiement et de réseaux de fourniture de contenus (CDN). « Actuellement, aucun accès aux serveurs n'est possible via SSH et les interfaces hôtes ont été bloquées », a expliqué le cybergang dans un message adressé à ses affiliés. DarkSide serait opéré par des cybercriminels russes sans que l'on sache si ces derniers sont liés de près ou de loin avec le Kremlin. Avant de tirer définitivement le rideau, le cybergang indique qu'il versera à ses utilisateurs une indemnisation sans préciser de montant. Les clés de déchiffrement leur seront aussi envoyés et pourront être délivrées aux victimes.
Tout le système DarkSide a été démantelé : « Le service de support hébergé ne fournit plus aucune information à l'exception d'une requête des autorités de police et de justice ». Un coup fatal a été porté à DarkSide avec la saisie des fonds versés par les victimes, incluant les 5 millions de dollars extorqués à Colonial Pipeline la semaine dernière. « Sur la base de tout cela et en raison de la pression des Etats-Unis, le programme d'affiliation est fermé. Restez en sécurité et bonne chance », a clamé DarkSide. De la chance il va aussi en falloir aux cybercriminels qui sont derrière ses manettes afin d'éviter de passer par la case prison. Ou alors sont-ils déjà en train de renaître sous un autre nom ?