Хакеры DarkSide ушли, получив $90 млн

Парализовавшие американский нефтепровод Colonial Pipeline хакеры решили прекратить свою деятельность.  За девять месяцев группировка атаковала около 100 крупных компаний и смогла заработать до $90 млн.

Что известно о DarkSide

Специалисты по информационной безопасности считают, что DarkSide была основана выходцами из Восточной Европы. В отличие от других хакерских группировок, ответственных за многие крупные киберпреступления последних лет, DarkSide не относится к числу политически мотивированных (спонсируемых государством) и отказывается от атак на компании из бывших и действующих участников Содружества независимых государств (всего 12 стран), а также Сирию. Также эти киберпреступники принципиально не атакуют сферу здравоохранения, школы и некоммерческие организации.

DarkSide – яркий пример группировки, действующей по модели RaaS (Ransomware as a Service, «Вредоносное ПО как услуга»). В августе 2020 г. группировка выпустила пресс-релиз о соответствующем продукте, предлагая свой программный код в «аренду» другим хакерам.

Известно, что DarkSide проводила тщательную разведку перед атаками. Для коммуникаций с жертвами злоумышленники использовали специальный веб-чат, а украденные данные хранили в сложных репозиториях с резервными подсистемами.

Жертвы и деньги

Пиком сомнительной славы DarkSide можно считать начало мая 2021 г., когда вирус-вымогатель атаковал американский нефтепровод Colonial Pipeline, по которому 45% топлива поступает на восточное побережье США. Многие эксперты по кибербезопасности говорят, что эта кибератака стала самым серьезным инцидентом на объекты критической инфраструктуры Штатов и одной из самых дорогих в истории. Кибератака привела к блокировке ИТ-систем оператора нефтепровода, кроме того, были зашифрованы данные. Оказались отключены четыре магистральные линии, что привело к росту мировых цен на нефть примерно на 1%, а цена на бензин в США подскочила более чем на 3%.

Среди других жертв DarkSide французское подразделение японского промышленного гиганта Toshiba – хакеры похитили порядка 740 ГБ конфиденциальных данных. Также киберпреступники вымогали деньги у немецкого химического дистрибутора Brenntag. Ранее весной были атакованы оператор парка арендных автомобилей Canadian Discount Car and Truck Rentals и ИТ-компания CompuCom.

Специалистам фирмы Elliptic, которая занимается управлением финансовыми рисками на рынке криптовалют и предоставляет аналитику по направлению блокчейна, удалось отследить транзакции, поступавшие на виртуальный кошелек участников DarkSide. В общей сложности группировка и ее партнеры получили от своих жертв около $90 млн в биткойнах. В общей сложности выкуп направили 47 компаний из 99, которые были заражены вредоносным кодом. Таким образом средняя сумма выкупа составила $1,9 млн. В частности, компания-оператор нефтепровода Colonial Pipeline была вынуждена заплатить хакерам $4,4 млн. Об этом в интервью The Wall Street Journal сообщил ее исполнительный директор Джозеф Блант (Joseph Blount).

Результативность аатак программы-вымогателя DarkSide может быть еще выше. Так, в компании eSentire говорят, что всего на сайте хакеров была размещена информация об утечках из 59 компаний.

«Плохие актеры» сходят со сцены

В четверг, 14 мая, перестал работать веб-сайт, используемый участниками DarkSide. Вскоре после этого хакеры объявили о роспуске группировки. По данным фирм FireEye и Intel 741, киберпреступники из DarkSide были вынуждены свернуть активность из-за потери доступа к своей рабочей инфраструктуре. Возможно, хакеров накрыло возмездие со стороны американских спецслужб – именно компании из США DarkSide атаковала чаще всего.

Впрочем, американскому бизнесу и компаниям из других стран пока рано успокаиваться. Бывает так, что группировки, управляющие вирусами-вымогателями, через некоторое время после распада возвращаются под другим названием.