{"id":13590,"url":"\/distributions\/13590\/click?bit=1&hash=03c45bd9f120d2c4307c8a83d2e290e4193e2d7cfbf2807f3e8cf799cc81b1a0","title":"\u0421\u0434\u0435\u043b\u0430\u0442\u044c \u0431\u043b\u0430\u0433\u043e\u0442\u0432\u043e\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u043f\u0440\u043e\u0435\u043a\u0442 \u043d\u0430 \u0434\u0435\u043d\u044c\u0433\u0438 \u043a\u0440\u0443\u043f\u043d\u043e\u0439 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438","buttonText":"\u041a\u0430\u043a?","imageUuid":"629d35eb-0db2-5643-b6f7-bd3a6714a6eb","isPaidAndBannersEnabled":false}

Хакеры на заказ с техподдержкой: чем известна группировка DarkSide, которая вызвала кризис топлива в США Статьи редакции

Она существовала меньше года, но стала одной из крупнейших и авторитетных хакерских организаций в мире, пишет WSJ. Она успела заработать более $60 млн, а в мае парализовала работу нефтепровода в США.

7 мая 2021 года хакеры атаковали одну из крупнейших в США систем нефтепроводов Colonial Pipeline с помощью программ-вымогателей.

Они парализовали работу компании и остановили транспортировку около 45% топлива, потребляемого на Восточном побережье США. Из-за этого средняя стоимость бензина в стране превысила $3 за галлон (3,8 л) — это максимум с 2014 года.

Схема отключенного трубопровода Colonial Pipeline

12 мая Colonial Pipeline заплатила хакерам около $5 млн в криптовалюте, чтобы вернуть доступ к данным, и с 13 мая начала возобновлять работу.

По данным ФБР, за взлом ответственна группировка DarkSide, состоящая из российских и восточноевропейских хакеров.

Она представляет собой хакерскую организацию «нового поколения»: сдаёт ПО в аренду партнёрам, общается с прессой и не взламывает медицинские, государственные и некоммерческие организации.

14 мая DarkSide прекратила работу — объяснив это растущей угрозой со стороны США и потерей части инфраструктуры. Менее, чем за год группировка заработала более $60 млн.

RaaS-бизнес DarkSide и её принципы

Группировка появилась на русскоязычных хакерских форумах в августе 2020 года, запустила свой сайт в сети Tor и начала активно продвигать себя за счет крупных атак и профессионального ведения операций.

Например, DarkSide предоставляла жертвам техподдержку в чате, анализировала их финансовые показатели перед атакой и разработала систему хранения украденных данных, чтобы гарантировать жертвам сохранность информации.

Также группировка рассказывала, что может продавать информацию о жертвах до публикации украденных данных, чтобы злоумышленники могли заработать на скачках в стоимости акций.

DarkSide относится к новой группе разработчиков вредоносного ПО, которые работают по модели Ransomware-as-a-Service («Вымогательство как услуга»).

Они сдают в аренду или продают свои программы хакерам-партнёрам для последующей атаки и заражения компьютеров крупных сетей и запуска программ-вымогателей. Прибыль распределяется между группировкой и её партнёрами, которым предлагали около 10-25% от суммы выкупа.

Пример сообщения о выкупе

Если жертв отказывалась платить, DarkSide публиковала похищенные данные на своём сайте. Также члены группировки могли торговаться с жертвами о размере выкупа, гарантируя, что не опубликуют секретную информацию и не будут в будущем атаковать компанию вновь.

DarkSide декларировала свои принципы в пресс-релизе о своём запуске. Она атаковала только крупные компании и запрещала партнёрам устанавливать вымогатели на ПК организаций в сфере здравоохранения, похоронных услуг, образования, госсекторе и некоммерческих проектах.

Также DarkSide отказалась от хранения украденных данных на серверах в Иране, чтобы не нарушать санкции США, а после взлома Colonial рассказала, что не знала об атаке на нефтепровод и обещала проверять цели партнёров, чтобы избежать социальных последствий.

Пресс-релиз DarkSide

Мы аполитичны, не участвуем в геополитике, не нужно связывать нас с правительствами или искать какие-то мотивы в наших действиях. Наша цель — заработать денег, а не создавать проблемы для общества.

DarkSide

В октябре 2020 года DarkSide пожертвовала $10 тысяч в биткоинах в пользу благотворительных организаций Children International (оказывает помощь детям, живущим в нищете) и The Water Project (обеспечивает доступ к чистой воде в Африке), писало ZDnet.

Хакеры создавали образ «Робин Гуда», но воспользоваться пожертвованием не получилось бы — их получение и использование тоже незаконно, отмечает издание.

Как мы сказали в первом пресс-релизе, мы нацелены только на крупные и прибыльные корпорации. Считаем справедливым, что часть денег от них пошла на благотворительность. Независимо от того, насколько плоха наша работа, нам приятно знать, что мы помогли изменить чью-то жизнь.

DarkSide
Второй пресс-релиз DarkSide

Часть прибыли группировка тратила на разработку — WSJ сравнивало её с технологическими стартапами.

В январе 2021 года DarkSide запустила «пресс-центр» для журналистов и пострадавших компаний. Например, группировка предлагала прямое общение, быстрые ответы в течение 24 часов, скидки для тех, кого взломали уже не в первый раз (и заплатил деньги DarkSide) и персонального менеджера.

В марте DarkSide представила «обновление» сервиса DarkSide 2.0, в котором предложила партнёрам функцию звонков жертвам через интернет. А в апреле предоставила возможность совершать DDoS-атаки против жертв, чтобы оказывать на них дополнительное давление при переговорах.

За первые семь месяцев работы DarkSide могла заработать около $60 млн, из них $46 млн — в первом квартале 2021 года, подсчитала исследовательская фирма Chainalysis. Она отмечает, что не владеет информацией о всех атаках группировки, поэтому прибыль DarkSide, скорее всего, была ещё больше.

Среди пострадавших:

  • Нефтегазовые компании США.
  • Поставщик ИТ-услуг CompuCom.
  • Канадская компания по аренде машин Discount Car and Truck Rental.
  • Французское подразделение Toshiba.
  • Немецкая химическая компания Brenntaag.
Объявление о взломе Brenntag на сайте DarkSide

14 мая DarkSide объявила о прекращении работы после потери доступа к части серверов и другой публичной инфраструктуры, а также из-за растущего давления со стороны спецслужб.

Группировка пообещала выпустить дешифраторы для всех партнёров и компенсировать все финансовые обязательства к 23 мая.

Объявление о прекращении работы, которое было разослано партнёрам DarkSide

Но подобные заявления нередко завершаются «перезапуском» группировки под новым названием, отмечает WSJ.

0
13 комментариев
Написать комментарий...
bastardos_no_pasaran

"Этичные хакеры", которых мы заслужили.

Ответить
Развернуть ветку
Юрий Другач

"Заслужили" - имеете ввиду бездействием и халатностью?

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Илья Попов

Вы думаете, что запрет поможет? Они профессионали и для них не представляет никаких проблем найти другой способ легализации черных денег.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Ruslan Sharapov

На всякий случай хочу уточнить — вы же в курсе, что биткойн не является анонимной валютой? Правоохранительным органам относительно просто найти всех участников цепочки транзакций с BTC (точных цифр статистики нет под рукой, но вроде около 80% случаев удается отследить). Да, конечно, есть всякие технологии криптомиксеров, но если очень надо, то вычислить можно. Поэтому когда речь идёт об обнале и прочих мутных схемах, то используют Monero и другие более приватные валюты.

Ответить
Развернуть ветку
El Negro

Запретим просто все деньги. Из-за них столько дерьма творится.

Ответить
Развернуть ветку
Бабка в засаде

Прикольно, хоть и не законно )

Ответить
Развернуть ветку
hakhagmon

Это как еслиб все теракты делала игил, а со сми общалась алькайда

Ответить
Развернуть ветку
Valentin G

Если РФ, то без башировых, петровых и ко не может обойтись. Желаю им бесплатного трансфера до  суда в US.

Ответить
Развернуть ветку
Rustam Idrisov

Яндекс.Такси тоже по модели RaaS работает

Ответить
Развернуть ветку
Sergei spiridonov

Читал до этого с ними публикации, очень интересная позиция, вопрос только: как долго они будут ее придерживаться, пока кто то из старших не решит создать свою отдельную "компанию" с шлюхами и блэкджеком ...?

Ответить
Развернуть ветку
Alex D

Любопытный подход. Хакеры из России, потому что на русском форуме. То есть если какой-то русскоязычный из Канады какой-нибудь, но группировка из России. Доказательства есть, но мы вам не покажем

Ответить
Развернуть ветку
Читать все 13 комментариев
null