Атаки программ-вымогателей становятся только хуже, группа DarkSide «уходит», но это может быть просто стратегией

Ранее в этом месяце хакерская группа под названием DarkSide начала атаку с использованием программ-вымогателей на бизнес-сеть Colonial Pipeline, вынудив компанию закрыть 5500-мильный магистральный трубопровод, что на прошлой неделе привело к нехватке топлива в 17 штатах и ​​Вашингтоне, сообщает ITbukva.com.


Согласно отчету Bloomberg, Colonial заплатила 75 биткойнов (около 5 миллионов долларов в день транзакции) в качестве выкупа восточноевропейским хакерам, но официально компания придерживается другого мнения о том, что не намерена платить вымогательство в криптовалюте, как того требовала группа DarkSide. Однако, как сообщается, компания из Джорджии произвела платеж в течение нескольких часов после атаки, возможно, используя полис киберстрахования для ее покрытия.

Как только платеж был получен, хакеры предоставили Colonial инструмент дешифрования для восстановления ее ИТ-систем. Однако процесс был настолько медленным, что компания просто прибегла к использованию собственных резервных копий, чтобы ускорить восстановление. В конце концов, поставки топлива были возобновлены в среду вечером, но эта история вызвала массовую реакцию правительства, включая указ, подписанный президентом Джо Байденом, об усилении защиты кибербезопасности США.


Компания Elliptic, занимающаяся аналитикой блокчейнов, утверждает, что отследила кошелек, используемый DarkSide для получения выкупа. Компания обнаружила, что кошелек был активен с начала марта и получил 57 платежей с 21 другого кошелька, что соответствует известным выкупам, которые были выплачены за последние два месяца.

Общая сумма транзакций оценивается в 17,5 миллионов долларов и Elliptic также смогла отследить, куда DarkSide отправляет часть своих средств. Было обнаружено, что группа использует несколько бирж, а также торговую площадку в даркнете под названием Hydra, популярную среди российских киберпреступников.

Ранее на этой неделе DarkSide опубликовал в даркнете извинения, в которых объяснил, что никогда не намеревался создавать какие-либо «проблемы для общества». Теперь группа утверждает, что потеряла контроль над своими веб-серверами, а также над значительной частью своих средств. В частности, серверы были захвачены неизвестным лицом, и по крайней мере одна из его основных учетных записей, которая использовалась для оплаты основной группы и аффилированных лиц, осуществлявших атаки, была опустошена.

Некоторые предполагают, что это было результатом быстрых, скоординированных действий властей США. Однако эксперты из охранных фирм Emsisoft, FireEye и Intel 471 объясняют, что это просто «мошенничество с выходом», в остальном типичное поведение, используемое операторами программ-вымогателей как способ скрыть свои следы и укрыться в тени, где они могут спланировать свой следующий шаг, иногда под другим именем.


Второе объяснение является наиболее правдоподобным, поскольку другие программы-вымогатели сделали аналогичные объявления в связи с повышенным вниманием СМИ к их недавним операциям. Например, REvil и Avaddon заявили, что прекратят рекламировать свои платформы Ransomware-as-a-Service и «станут частными». Кроме того, они планируют прекратить атаковать критически важную инфраструктуру, такую ​​как медицинские и образовательные учреждения, энергосети, топливопроводы и все остальное, что могло бы привлечь внимание, вызванное недавней атакой DarkSide.

Colonial была не единственной компанией, ставшей мишенью DarkSide - в заявлении Toshiba в пятницу говорится, что европейская сторона ее бизнеса пострадала от атаки вымогателя 4 мая. Она не заплатила выкуп, поскольку украденные данные не включали конфиденциальная информация благодаря быстрым действиям, которые не позволили злоумышленникам горизонтально перемещаться по сетевым системам компании.

Служба здравоохранения Ирландии также стала жертвой «серьезной» и «изощренной» атаки программ-вымогателей на ее системы, что побудило чиновников отключить пораженные системы в качестве меры предосторожности. К счастью, эта атака не повлияла на программу вакцинации против Covid-19 в стране, но во всех других службах здравоохранения произошел значительный сбой, поскольку больницы были вынуждены работать в автономном режиме.

В Германии компания Brenntag, занимающаяся продажей химических веществ, заплатила DarkSide биткойнами на сумму 4,4 миллиона долларов за защиту своих операций на более чем 670 сайтах и ​​150 гигабайт конфиденциальной информации. Ранее в этом месяце в сеть компании проникли с помощью украденных учетных данных и слабой безопасности входа в систему, в которой отсутствовала многофакторная аутентификация.


Похоже, что программа-вымогатель как услуга является крупным бизнесом, по крайней мере, согласно данным Chainalysis, который заявляет, что количество атак программ-вымогателей резко возросло в прошлом году и не показывает никаких признаков замедления. В первые месяцы 2021 года жертвы заплатили более 81 миллиона долларов, большая часть из которых досталась DarkSide.

Еще одно интересное наблюдение заключается в том, что в течение последних восьми лет операторы программ-вымогателей переводили свои средства через основные биржи, причем последние использовались, чтобы существенно скрыть исходный адрес для транзакции. Это делает его очень привлекательным для отмывания денег, мошенничества и другой преступной деятельности.

В прошлом месяце власти США арестовали Романа Стерлингова, оператора криптовалютной биржи под названием Bitcoin Fog, которая с 2011 года якобы отмыла биткойны на сумму 335 миллионов долларов. На этой неделе Министерство юстиции и IRS начали расследование Binance, крупнейшей в мире биржи криптовалют по объему.

Основная проблема, связанная с атаками программ-вымогателей, заключается в том, что сложно поймать ответственных за них людей, поскольку некоторые из них проживают в странах, которые можно охарактеризовать как убежища для киберпреступлений. Ярким примером является Северная Корея, которая, как говорят, использовала экспертов по криптовалюте и хакеров для кражи миллиардов долларов, способствуя своим военным амбициям и позволяя уклоняться от санкций США.