Seit der Eröffnung des DarkSide-Kontos im März hatte Elliptic 17,5 Millionen US-Dollar aus 21 Bitcoin-Geldbörsen erhalten, was auf die Anzahl der Lösegeldbeträge hinweist, die es erst in diesem Frühjahr gesammelt hatte. Cybersecurity-Analysten schätzen, dass die Gruppe seit mindestens August aktiv ist und höchstwahrscheinlich eine Reihe verschiedener Bitcoin-Geldbörsen verwendet hat, um Lösegeld zu erhalten.
Aber am Donnerstag hat jemand laut TRM Labs, einem Blockchain-Geheimdienstunternehmen in San Francisco, ungefähr 113,5 Bitcoin oder 5,6 Millionen US-Dollar aus der Bitcoin-Brieftasche von DarkSide abgezogen und auf ein Konto eines unbekannten Benutzers verschoben. Die Summe belief sich auf das 75-Bitcoin-Lösegeld von Colonial plus das eines deutschen Unternehmens, Brenntag, das sich auch dafür entschieden hat, seine digitalen Erpresser zu bezahlen, sagte TRM Labs.
Wem dieser andere Account gehört, ist eine weitere Wendung in der Hacking-Episode.
“Es ist schwer zu spekulieren”, sagte Esteban Castaño, Mitbegründer von TRM Labs, in einem Interview am Freitag. Er bemerkte, dass jeder, der DarkSides Gewinne verschoben hatte, Zugriff auf den privaten Schlüssel der Gruppe für ihre Bitcoin-Brieftasche gehabt hätte.
“Die Frage ist, wo diese privaten Schlüssel gespeichert wurden?” Herr Castaño sagte. „Waren sie auf einem Server, den jemand anderes in die Hand genommen hat? Oder hat DarkSide die Übertragung selbst initiiert? “
Die intensive Prüfung nach dem Angriff auf die Colonial Pipeline hat Ransomware-Gruppen eindeutig verunsichert. Diese Woche kündigten die Betreiber von REvil und Avaddon, zwei großen Ransomware-Plattformen in russischer Sprache, strenge neue Regeln für die Verwendung ihrer Produkte an, darunter Verbote für die Ausrichtung auf mit der Regierung verbundene Unternehmen, Krankenhäuser oder Bildungseinrichtungen.
Der Administrator von XSS, einem beliebten russischsprachigen Forum für Cyberkriminalität, kündigte ein sofortiges Verbot aller Ransomware-Aktivitäten im Forum an und verwies unter anderem auf die mit der Branche verbundene schlechte Presse. In einer im Forum veröffentlichten Erklärung machte der Administrator die Aufmerksamkeit auf eine „kritische Masse aus Schaden, Unsinn, Hype und Lärm“ aufmerksam und sagte, sogar der Sprecher von Präsident Wladimir V. Putin aus Russland habe den Angriff der Kolonialpfeife abgewogen. (Der Sprecher, Dmitri S. Peskov, bestritt, dass der Kreml an dem Angriff auf die Pipeline beteiligt war.)
“Das Wort Lösegeld wurde mit einer ganzen Reihe unangenehmer Dinge in Verbindung gebracht – Geopolitik, Erpressung, Cyberangriffe der Regierung”, schrieb der XSS-Administrator. “Dieses Wort ist gefährlich und giftig geworden.”
:quality(70):focal(1685x781:1695x791)/cloudfront-eu-central-1.images.arcpublishing.com/liberation/NQXCWJ7W7BBGHMK6JS7H63TQAQ.jpg)
