Theo các nhà nghiên cứu an ninh mạng, băng nhóm tội phạm mạng bị đổ lỗi cho cuộc tấn công bằng ransomware vào một đường ống của Mỹ gây ra tình trạng thiếu xăng cho người lái xe trong tuần này đã ngừng hoạt động.
Tin tức được đưa ra sau khi Công ty Colonial Pipeline thanh toán khoản tiền chuộc cho các tin tặc trị giá gần 5 triệu đô la để khởi động lại mạng lưới dài 5.500 dặm của mình, những người quen thuộc với vấn đề này cho biết.
DarkSide, nhóm bị tình nghi có trụ sở tại Nga mà FBI cho là chịu trách nhiệm về vụ tấn công, đã nói với các chi nhánh rằng họ đang đóng cửa các dịch vụ của mình, FireEye, một nhóm an ninh mạng được chỉ định để điều tra vụ việc, cho biết.
Cho đến nay, DarkSide vẫn duy trì phần mềm tống tiền nhưng cũng cho người khác thuê nó thông qua một chương trình liên kết, lấy một phần tiền thu được từ các cuộc tấn công chiếm quyền kiểm soát dữ liệu hoặc hệ thống phần mềm của tổ chức và khóa chủ sở hữu bằng cách sử dụng mã hóa cho đến khi thanh toán được thực hiện.
Trong một bài đăng trên web đen, được các nhà nghiên cứu tại Recorded Future tìm thấy và được Financial Times nhìn thấy, nó cũng cho biết đã mất quyền kiểm soát phần lớn cơ sở hạ tầng công cộng của mình - bao gồm cả blog web đen và máy chủ mà nó sử dụng để chấp nhận thanh toán tiền chuộc - và các quỹ tiền điện tử của nó đã bị thu giữ.
Kimberly Goody, quản lý cấp cao về phân tích tội phạm tài chính của FireEye’s Mandiant Threat Intelligence, cho biết: “Bài đăng trích dẫn áp lực thực thi pháp luật và áp lực từ Hoa Kỳ đối với quyết định này.
Không rõ liệu sự gián đoạn đối với cơ sở hạ tầng của nhóm có phải do cơ quan chức năng chỉ đạo hay không, và liệu DarkSide có tự đưa mình vào chế độ ngoại tuyến với mục đích sau này tiếp tục hoạt động lại dưới một chiêu bài khác, được gọi là kế “ve sầu thoát xác” hay không.
Tổng thống Mỹ Joe Biden cho biết ông có "lý do chính đáng" để tin rằng các tin tặc DarkSide có trụ sở tại Nga, nhưng ông không tin rằng Moscow phải chịu trách nhiệm trực tiếp.
Trong một bài đăng trên blog vào thứ Sáu, nhóm phân tích blockchain Elliptic phát hiện ra rằng Colonial đã trả 75 bitcoin - tương đương gần 5 triệu đô la - cho một ví tiền điện tử được DarkSide sử dụng vào ngày 8 tháng 5.
Ví đã nhận được tổng cộng 17,5 triệu đô la bitcoin kể từ khi bắt đầu hoạt động vào đầu tháng 3, với phần lớn số tiền này được rửa thông qua các sàn giao dịch tiền điện tử nhỏ hoặc được gửi đến Hydra, một thị trường bất hợp pháp trên web đen thường phục vụ Nga và các quốc gia lân cận.
Elliptic cũng xác nhận rằng khoản thanh toán 5 triệu đô la tiền chuộc đã được chuyển khỏi ví tiền điện tử của DarkSide vào thứ Sáu 14/5, mặc dù nó không cho biết khoản tiền này đã được chuyển đến đâu.
Colonial đã bắt đầu quá trình đưa đường ống - một huyết mạch trung tâm để cung cấp nhiên liệu động cơ đến miền Đông Hoa Kỳ - trở lại hoạt động vào hôm thứ Tư 12/5.
Hôm thứ Năm, họ cho biết đã khởi động lại toàn bộ hệ thống và bắt đầu cung cấp sản phẩm đến tất cả các thị trường của mình. Nó đã không trả lời yêu cầu bình luận về việc thanh toán tiền chuộc.
Theo tập đoàn an ninh mạng Emsisoft, các băng đảng ransomware kiếm được ít nhất 18 tỷ USD tiền chuộc vào năm 2020, do tin tặc lợi dụng việc nhân viên chuyển sang làm việc từ xa và dẫn đến các lỗ hổng mạng. Dữ liệu của Emsisoft cho thấy khoản thanh toán trung bình là khoảng 150.000 USD.