Опубликовано 30 мая 2021, 17:07
3 мин.

Услуги за процент от выкупа. Журналисты узнали, как работают хакеры-вымогатели из группировки DarkSide

Журналисты The New York Times получили доступ к панели управления, которую используют хакеры — партнёры русскоязычной группировки DarkSide, атаковавшей крупнейший трубопровод США. Выяснилось, что киберпреступники продают свою программу-вымогатель и оказывают другие хакерские услуги заказчикам за определённый процент от требуемого выкупа.

Услуги за процент от выкупа. Журналисты узнали, как работают хакеры-вымогатели из группировки DarkSide

Хакеры из DarkSide используют популярный сейчас метод двойного вымогательства. Они не просто шифруют пользовательские данные, обещая вернуть доступ к ним после выкупа, но и извлекают зашифрованную информацию, чтобы потом опубликовать её, если деньги не заплатят.

Группировка DarkSide предлагает клиентам вирус-вымогатель по модели «программа как услуга», узнала NYT. Заказчиками выступают те, кто способен взломать системы жертвы, но при этом у них нет технических навыков для создания нужных хакерских программ. Киберпреступники из DarkSide также оказывают следующие услуги:

  • техническая поддержка хакеров-заказчиков;
  • ведение переговоров с жертвой;
  • обработка платежей;
  • разработка специализированных кампаний давления с помощью шантажа и других средств.

Плата за услуги составляла от 25% выкупа, который выплачивала жертва, если его сумма составляла менее $500 000, и до 10% — за выкуп в размере более $5 млн. Такие данные привела одна из ведущих компаний в сфере кибербезопасности FireEye.

Журналистам удалось получить доступ к панели управления, которую клиенты DarkSide использовали для организации и проведения атак с помощью вируса-вымогателя. Данные для входа в систему через посредника предоставил некий хакер. Чёрно-белая панель давала пользователям доступ к списку целей DarkSide, связи с персоналом службы поддержки и данным о текущей прибыли.

Хакеры опубликовали для клиентов правила работы группировки. В сообщении на русском языке отмечается, что участники DarkSide используют качественный, а не количественный подход и дорожат своей репутацией. Они подчеркнули, что ресурсы группировки нельзя использовать против:

  • медицинских организаций (больниц, госпиталей, домов престарелых, паллиативных организаций, разработчиков и поставщиков вакцины от COVID-19 и т. д.);
  • моргов, крематориев, похоронных бюро;
  • университетов и школ;
  • муниципалитетов и других госорганов;
  • некоммерческих организаций (благотворительных фондов, ассоциаций).

Кроме того, заказчикам запрещено работать в странах СНГ.

Атака на Colonial Pipeline

7 мая хакеры с помощью вируса-вымогателя атаковали Colonial Pipeline — ключевую топливную артерию для восточной половины США протяжённостью 8850 км, которая транспортирует 2,5 млн баррелей горючего в день. Это главный источник бензина, дизельного и авиационного топлива для Восточного побережья. Чтобы сдержать угрозу, компании пришлось превентивно отключить определённые системы, после чего транспортировка топлива полностью остановилась.

По данным ФБР, за атакой стояла хакерская группировка DarkSide из Восточной Европы, а её участники являются выходцами из России. Впрочем, президент США Джо Байден утверждал, что Белый дом не считает российские власти причастными к инциденту.

Трубопровод возобновил работу только спустя неделю. Colonial Pipeline заплатила киберпреступникам $4,4 млн. Когда хакеры получили выкуп, они предоставили оператору средство дешифрования, которое позволило восстановить работу отключённой компьютерной сети Colonial Pipeline, но инструмент работал крайне медленно, из-за чего компании пришлось использовать собственные резервные копии для восстановления системы.

Самороспуск

Через сутки после возобновления работы Colonial Pipeline хакерская группировка DarkSide объявила о самороспуске и прекращении деятельности. По данным FireEye и Intel 471, русскоязычные хакеры оповестили об этом своих коллег на специализированных интернет-форумах. Причиной могло стать то, что группировка потеряла контроль над некоторыми из своих серверов после атаки на трубопровод. Кроме того, кибервымогатели пожаловались на растущее давление со стороны спецслужб США.

Пока непонятно, действительно ли группировка прекратила свою деятельность и причастны ли к этому американские правоохранители. Журналисты указывали, что такие объединения хакеров-вымогателей нередко объявляют о самороспуске, а потом уже под новым именем берутся за старое.

Аналитики отметили, что DarkSide меньше чем за год из малоизвестной группировки превратилась в одно из самых влиятельных хакерских объединений. По данным Chainalysis, за семь месяцев работы группировка смогла добыть не меньше $60 млн, из них $46 млн — в первом квартале 2021 года. Предполагается, что общий улов объединения может быть больше.

Фото: Pixabay, Pixabay License

Ещё ближе к делу — главные новости и самые интересные истории в нашем Telegram-канале.