На прошлой неделе мы рассказали историю о мировой хакерской группировке Anonymous, которые записали ролик с обращением к Илону Маску. Ролик нес в себе недовольство в сторону бизнесмена и косвенную угрозу. В этот раз речь пойдет о не менее крупной группировке DarkSide. Хакеры не первый год шантажируют крупнейшие мировые компании. Но в мае о них заговорило большое количество СМИ. The New York Times выдвинули мнение, что хакерское объединение, ставшее лицом киберпреступности, родом из России. Благодаря чему поднялся такой ажиотаж вокруг DarkSide, расскажем в статье.
Происхождение
Впервые DarkSide заявили о себе в августе 2020 года, когда публично презентовали свое вредоносное ПО. Продукт носит название RaaS. После этого, группировка получила популярность, благодаря тому, что операции проходили эффективно, но самое главное – профессионально. Также можно отметить, что хакеры всегда вымогали внушительные суммы денег у компаний. Перед тем как атаковать жертву, хакеры хорошо анализируют ее финансовую сторону.
Есть мнение, что название DarkSide (темная сторона) произошла от серии фильмов Звездные войны.
Вопреки многим мнениям, нет никаких подтверждений того, что в организации находятся бывшие специалисты из отрасли ИТ-безопасности. Но из того, как проводятся операции, можно сделать вывод: резиденты группировки отлично разбираются в технологиях безопасности, имеют глубокое понимание инфраструктуры, а также анализируют слабые стороны будущих жертв.
DarkSide сделали публичное заявление, что они не собираются атаковать больницы, учебные заведения, некоммерческие компании и госорганы. Они предпочитают выбирать целью своих атак довольно крупные организации, у которых можно будет вымогать внушительные суммы.
Вернемся к мнению издательства The New York Times. Оно появилось после того, как выяснилось, что вредоносное ПО перед атакой проверяет языковые параметры устройства и никогда не атакует российских пользователей. Также, на различных форумах представители организации общались на русском языке. Кроме того, на тех же форумах было сказано, что набираются новые специалисты из России.
Предположение о том, что организация является российской, выдвинула журналист из The New York Times Николь Пирло. Это конечно не говорит о том, что DarkSide на 100% российская организация, но делать здесь какие-то выводы крайне проблематично и скорее всего мы вряд-ли узнаем правду об этом.
Вирус-вымогатель
Как может показаться, DarkSide первопроходцы, которые изобрели такое вредоносное ПО с целью вымогать крупные суммы. Но на деле все обстоит немного иначе. В 2017 году вирус-вымогатель под названием NotPetya заработал для своих создателей миллиарды долларов. Принцип работы был такой же, как у нынешнего DarkSide. Подобных примеров масса, но в 2019 году отрасль хакерских вымогательств эволюционировала в нечто прогрессивно новое.
Основу положила ныне закрывшаяся группировка Maze. Они активно взаимодействовали со СМИ, вели собственную PR-службу. Пиарщики защищали репутацию, развенчивали мифы, если о деятельности хакеров были какие-то лживые отзывы. Вскоре такой принцип работы взяли на вооружение и другие хакерские организации, в их число и вошли DarkSide.
Организаторы таких группировок создают облачные платформы, на них они могут предоставить платежный шлюз и цепочки распределений денег. После этого хакеры берут их программное обеспечение и используют уязвимости, которые нашли сами или же купили. В итоге, запускается вирус в сеть компании. Такие уязвимости компаний обычно находят хакеры-пентестеры. Одна такая уязвимость может стоить $1000 или даже десятки тысяч.
Когда взлом происходит успешно, подключается фирма-переговорщик, она общается с жертвой и в дальнейшем помогает компании расплатиться с хакерами. После этого полученные в результате переговоров деньги делятся между тем, кто исполнил взлом и кто разработал программное обеспечение. Но загвоздка в том, что даже после того, как хакеры получают деньги, все данные которые они успели скачать во время взлома остаются у них на серверах. Контроль над серверами осуществляют создатели организаций. Это делается для того, чтобы хакеры сохранили свою репутацию и были гарантией для жертвы взлома, в то время, пока проводятся переговоры. Раскрыть, кто стоит за всеми этими вымогательствами, практически нереально, так как за отдельной группировкой, как правило, стоит достаточно много людей. Даже если получится поймать каких-то определенных хакеров, которые производили взлом или обналичивали деньги, выйти на их заказчиков не предоставится возможности. Все это потому что в сети не используются реальные имена и исполнители зачастую знают только ники.
Чем занимается DarkSide сегодня
Хакерская организация, позиционирует себя как корпорация. Они активно пиарят свое движение на просторах интернета. Даже занимаются благотворительностью.
В мае этого года об организации заговорили множество СМИ по всему миру. А произошло это благодаря их взлому самого крупного поставщика нефтепродуктов Соединенных штатов — Colonial Pipeline. Что представляет из себя Colonial Pipeline? Это компания контролирующая работоспособность трубопровода, благодаря которому осуществляется поставка топлива всему Восточному побережью США. Это в свою очередь 45% очищенного топлива.
Атака произошла 7 мая. Хакеры DarkSide запустили вирус-вымогатель в компьютеры компании Colonial Pipeline, тем самым заблокировали всю систему. Наряду с этим они выкачали порядка 100 гигабайт данных компании. Была введена региональная чрезвычайная ситуация в 19 штатах. Это было сделано для того, чтобы организовалась доставка горючего и нефтепродуктов в автоцистернах. Водителям грузовых фур было разрешено работать сверхурочно. Но с обязательным ночным сном. Это немного облегчило состояние страны. Стоит отметить то, что за несколько дней до атаки американской компании DarkSide провели хакерскую атаку на французское подразделение организацию Toshiba. Порядка 740 гб было выкачано с серверов корпорации, включая скриншоты паспортов и разную личную информацию сотрудников.
Ситуация с Colonial Pipeline закончилась тем, что хакерская группировка перестала функционировать и прозвучало заявление, о роспуске группы. Это произошло из-за растущего давления на организацию со стороны правоохранительных органов. Нужно не забывать, что такая практика не редкость среди хакерских группировок. Они распускаются на непродолжительное время, а после возвращаются под новым именем. Стоит отметить, что DarkSide, до своего заявления о роспуске, успели получить от компании Colonial Pipeline $5 млн в криптовалюте, после чего восстановили работоспособность системы и компьютеров.
Заключение
Подведем небольшой итог всего того, что было рассказано выше. Киберпреступность перестала быть редкостью достаточно давно. Время идет, кибербезопасность казалось бы, уже на высочайшем уровне, но и хакерские организации не стоят на месте. Они разрабатывают каждый день все новые ПО, программы-вымогатели и другие вредоносные приложения. Чтобы не стать их жертвой, нужно всегда помнить о мерах предосторожности.
А чтобы не терять потенциальную прибыль, во время роста крипто рынка, обратите свое внимание на RevenueBot. Сервис дает возможность создания торговых ботов для трейдинга на топовых крипто биржах. Более подробно с услугами RevenueBot можно ознакомиться на официальном сайте.