Darkside, le gang à l'origine de l'attaque contre Colonial Pipeline, n'a plus de site ni d'argent. Reste à savoir si ses opérateurs bluffent, ou si les autorités sont parvenues à démanteler son activité.

« Nous allons poursuivre des mesures pour les empêcher d’opérer », avait déclaré le président Joe Biden à propos du gang Darkside, lors d’une conférence de presse tenue le 13 mai. Quelques jours auparavant, une coalition d’entreprises privées et d’agences gouvernementales avait déjà saisi des serveurs utilisés par les cybercriminels.

Au lendemain de cette annonce, le site The Record Media a repéré un message de « Darksupp », le pseudonyme des opérateurs de Darkside : «  Nous avons perdu l’accès à la partie publique de notre infrastructure, c’est-à-dire notre blog, notre serveur de paiement, notre serveur DOS [où se trouvent les programmes informatiques, ndlr] ». Autrement dit, l’infrastructure de Darkside a été démantelée, et le groupe devrait être hors d’état de nuire pour un bon moment, si ce n’est pour toujours.

Darkside a attiré l’attention médiatique et surtout celle des plus hauts pouvoirs américains après sa cyberattaque contre Colonial Pipeline, l’entreprise gestionnaire d’un des principaux oléoducs de la côte est américaine. Ce coup d’éclat a déclenché une nouvelle séquence diplomatique entre la Russie et les États-Unis sur le sujet des activités cybercriminelles. Mais dans l’affaire, le gang aurait tout de même obtenu un paiement de 5 millions de dollars de la part de sa victime, d’après plusieurs médias américains.

Mais justement, le portefeuille de cryptomonnaie où se trouvaient les différents butins du groupe a été vidé de son contenu. L’argent a été transféré vers un portefeuille inconnu, d’après Darksupp.

Clap de fin pour Darkside. // Source : Louise Audry pour Numerama

Saisie des forces de l’ordre ou fourberie de Darkside ?

Pour l’instant, les forces de l’ordre n’ont pas communiqué sur une éventuelle saisie de l’infrastructure de Darkside. Mais ne serait pas une première : par exemple, au début de l’année 2021, les autorités ont démantelé l’organisation Emotet, qui avait pris une place importante dans l’écosystème cybercriminel et qui coopérait avec plusieurs gangs rançongiciel.

Mais il existe une autre possibilité, évoquée par The Record Media : Darkside aurait pu réaliser un « exit scam ». Autrement dit, il se serait servi des propos de Biden comme d’un alibi pour disparaître avec son butin, avant d’être vraiment confronté aux autorités. Avec ce subterfuge, les opérateurs garderaient l’intégralité de leurs gains plutôt que de les partager comme prévu avec les affiliés qui ont lancé les attaques dont celle contre Colonial Pipeline.

Si ce démantèlement était le résultat d’une action des autorités, ce serait une démonstration de force inédite par sa rapidité et son ampleur. Et il pourrait marquer un coup d’arrêt dans la croissance en apparence exponentielle de la puissance des gangs. D’ailleurs, certains forums où les cybercriminels passent leurs annonces ont déjà décidé de faire profil bas.

Crédit photo de la une : Star Wars, épisode VI : le retour du jedi

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux