DarkSide (хакерская группа)
DarkSide — хакерская группа и производитель хакерского ПО. Впервые была замечена в августе 2020 года[1]. По мнению лаборатории Касперского, профессионально выглядящий веб-сайт DarkSide Leaks вполне может быть веб-сайтом поставщика онлайн-услуг, который использует традиционные методы маркетинга, имея признаки бизнес-предприятия[2].
Особенности
Судя по схеме работы, группа состоит из опытных киберпреступников[3].
Код программы-вымогателя, используемый DarkSide, напоминает программу-вымогатель, используемую REvil, другой хакерской группой; код REvil не является открытым, что говорит о том, что DarkSide является либо ответвлением, либо партнёром REvil[4][5]. DarkSide и REvil используют аналогично составленные требования выкупа и один и тот же код. Как правило, большинство жертв не находятся в странах СНГ. Darkside — программа-вымогатель, используемая как услуга (RaaS). Вполне возможно, что за тремя атаками, произошедшими в последнее время, стоят разные партнёрские группы. Участники DarkSide признают, что они просто покупают доступ к корпоративным сетям и понятия не имеют, как был получен к ним доступ[6].
Существует мнение, что компания имеет связь с Россией или иной страной, поскольку она не атакует сайты, написанные на русском и компании, расположенные в странах СНГ[7]. Кроме того, по сообщению компании Acronis, вредоносное ПО группы не работает на компьютерах, использующих русскую раскладку клавиатуры.
Группа утверждает, что жертвует часть своих преступных доходов на благотворительность, и разместила квитанции на несколько таких пожертвований на своём веб-сайте[8].
Бостонская компания Cybereason, специализирующаяся на технологиях кибербезопасности, заявила, что DarkSide — организованная группа хакеров, создавших своеобразную бизнес-модель «программы-вымогателя как услуги», то есть хакеры DarkSide разрабатывают и продают инструменты взлома программ-вымогателей заинтересованным лицам, которые затем проводят атаки. Американский кабельный и спутниковый телеканал новостей бизнеса CNBC назвал DarkSide «злым двойником стартапа из Кремниевой долины». Издание цитирует заявление компании, в котором говорится: «Мы аполитичны, мы не участвуем в геополитике, не нужно связывать нас с определённым правительством и искать наши мотивы. Наша цель — зарабатывать деньги, а не создавать проблемы для общества»[9].
Известные атаки
DarkSide подозревается в проведении кибератаки на Colonial Pipeline — один из крупнейших топливных трубопроводов США[a][10].. Атака является крупнейшей в истории кибератакой на критически важную инфраструктуру США[10].
Руководство компании Colonial Pipeline признало выплату хакерам выкупа 4,5 млн долл. По данным исследовательской компании Elliptic, только за период с августа 2020 года по апрель 2021, DarkSide получила с жертв своих атак, по меньшей мере 90 млн долл. в биткоинах[11].
Поддержка хакеров
Услуги DarkSide включают в себя оказание технической поддержки хакерам, ведение переговоров с их жертвами, обработку платежей и разработку специализированных компаний давления с помощью шантажа и других средств[12].
Согласно данным компании FireEye, занимающейся компьютерной безопасностью, DarkSide взимала с пользовавшихся её услугами хакеров плату по скользящей шкале: от 10 % за выкуп свыше 5 млн долларов до 25 % за выкуп менее 500 тыс. долларов[12].
DarkSide предлагает так называемые «услуги по вымогательству» в интернете. DarkSide берёт плату со своих соучастников, которые не обладают знаниями программистов для создания программ-вымогателей, но могут влезть в компьютер своей жертвы. По данным газеты New York Times, криминальные операции приносят DarkSide миллионы долларов ежемесячно[12][b].
DarkSide зарегистрировалось как докладчик на See Con 2122 (https://t.me/anekwanted/665).
Примечания
Комментарии
- ↑ Colonial Pipeline перекачивет 2,5 млн баррелей нефти в день и обеспечивает 45% топлива, потребляемого на восточном побережье США.
- ↑ Журналисты New York Times через анонимного посредника получили доступ к сайту DarkSide и смогли ознакомиться с деталями работы «этой русскоязычной банды, ставшей лицом глобальной киберпреступности»[12].
Сноски
- ↑ Darkside Ransomware does not attack hospitals, schools and governments - Acronis (англ.). www.acronis.com. Дата обращения: 10 мая 2021. Архивировано 10 мая 2021 года.
- ↑ Dedenok. DarkSide leaks shows how ransomware is becoming an industry (англ.). Дата обращения: 10 мая 2021. Архивировано 12 мая 2021 года.
- ↑ В США парализован крупный нефтяной объект — есть русский след . www.bbc.com. Дата обращения: 12 июля 2021. Архивировано 10 мая 2021 года.
- ↑ David E. Sanger & Nicole Perlroth, F.B.I. Identifies Group Behind Pipeline Hack (англ.). www.nytimes.com. Дата обращения: 12 июля 2021. Архивировано 6 июня 2021 года., New York Times (May 10, 2021).
- ↑ Charlie Osborne, Researchers track down five affiliates of DarkSide ransomware service (англ.). www.zdnet.com. Дата обращения: 12 июля 2021. Архивировано 7 июня 2021 года., ZDNet (May 12, 2021)
- ↑ What We Know About the DarkSide Ransomware and the US Pipeline Attack (англ.). www.trendmicro.com. Дата обращения: 12 июля 2021. Архивировано 8 октября 2021 года., Trend Micro Research (May 14, 2021)
- ↑ US passes emergency waiver over fuel pipeline cyber-attack (англ.). www.bbc.com. Дата обращения: 12 июля 2021. Архивировано 10 мая 2021 года., BBC, 10.05.2021
- ↑ Mysterious 'Robin Hood' hackers donating stolen money (англ.). BBC News (19 октября 2020). Дата обращения: 10 мая 2021. Архивировано 18 мая 2021 года.
- ↑ Eamon Javers. Here's the hacking group responsible for the Colonial Pipeline shutdown (англ.). cnbc.com. Дата обращения: 12 июля 2021. Архивировано 10 мая 2021 года.
- ↑ 1 2 Who are DarkSide, the 'Robin Hood' criminal gang blamed for shutting down one of the biggest fuel pipelines? (англ.). www.abc.net.au (9 мая 2021). Дата обращения: 10 мая 2021. Архивировано 7 июня 2021 года.
- ↑ Ransomware: Should paying hacker ransoms be illegal? (англ.). www.bbc.com. Дата обращения: 12 июля 2021. Архивировано 21 мая 2021 года., BBC, 20.05.2021
- ↑ 1 2 3 4 New York Times: программы-вымогатели на заказ от россиян . www.bbc.com. Дата обращения: 12 июля 2021. Архивировано 3 июня 2021 года.
Ссылки
- Хакеры остановили крупнейший трубопровод США. За атакой могут стоять преступники из постсоветских стран. www.bbc.com. Дата обращения: 12 июля 2021. — обзорная статья ББС (англ.)