Jump to content

DarkSide (хакерская группа)

ДаркСайд
ДаркСайд
Цель Программы-вымогатели как услуга
Область
Восточная Европа
Официальный язык
Русский

DarkSide хакерская группа киберпреступников , предположительно базирующаяся в России , которая нацелена на жертв с помощью программ-вымогателей и вымогательства ; Считается, что именно он стоит за кибератакой на Colonial Pipeline . [1] [2] [3] [4] Считается, что только в США им удалось взломать и вымогать деньги примерно у 90 компаний. Группа предоставляет программы-вымогатели как услугу. [4] [5] [6]

Сама DarkSide утверждает, что она аполитична. [7]

Цели

[ редактировать ]

Предполагается, что DarkSide базируется в Восточной Европе , скорее всего, в России, но в отличие от других хакерских групп, ответственных за громкие кибератаки, не предполагается, что она напрямую спонсируется государством (т. е. управляется российскими спецслужбами). [3] [8] DarkSide избегает целей в определенных географических местах, проверяя языковые настройки их системы. Помимо языков 12 нынешних, бывших или основавших стран СНГ, в список исключений входит сирийский арабский язык . [9] Эксперты заявляют, что эта группа является «одной из многих коммерческих групп, занимающихся вымогательством, которые распространились и процветают в России», по крайней мере, с неявной санкции российских властей, которые допускают эту деятельность до тех пор, пока она атакует иностранные цели. [8] Функцию проверки языка можно отключить при создании экземпляра программы-вымогателя. Одна из таких версий наблюдалась в мае 2021 года. [10] Кроме того, DarkSide не нацелен на медицинские центры , школы и некоммерческие организации . [11]

Код программы-вымогателя, используемый DarkSide, напоминает программу-вымогатель, используемую REvil , другой хакерской группой; Код REvil недоступен публично, что позволяет предположить, что DarkSide является ответвлением REvil. [12] или партнер REvil. [4] DarkSide и REvil используют записки о выкупе с одинаковой структурой и один и тот же код, чтобы проверить, что жертва не находится в стране Содружества Независимых Государств (СНГ). [13]

По данным Trend Micro Research, США являются наиболее целевой страной DarkSide: более 500 обнаружений, за ними следуют Франция , Бельгия и Канада . [13] Из 25 стран, наблюдаемых McAfee, наиболее пострадавшими от атак DarkSide с точки зрения количества пораженных устройств на миллион устройств являются Израиль (1573,28), Малайзия (130,99), Бельгия (106,93), Чили. (103,97), Италия (95,91), Турция (66,82), Австрия (61,19), Украина (56,09), Перу (26,94), США (24,67). [14]

По состоянию на июнь 2021 года DarkSide опубликовал данные только одной компании; объем публикуемых данных превышает 200 ГБ. [15]

Механизм атаки

[ редактировать ]

Программа-вымогатель DarkSide изначально обходит UAC, используя COM-интерфейс CMSTPLUA. [15] Затем программное обеспечение проверяет местоположение и язык системы, чтобы избежать машин в странах бывшего СССР; В список исключенных языков входят русский , украинский , белорусский , таджикский , армянский , азербайджанский , грузинский , казахский , киргизский , туркменский , узбекский , татарский , молдавский румынский и сирийский арабский . [15]

Затем программа создает файл с именем LOG.{userid}.TXT , который служит файлом журнала . [15] Программное обеспечение удаляет файлы из корзины один за другим, удаляет определенные программы безопасности и резервного копирования, а также завершает процессы, чтобы разрешить доступ к файлам пользовательских данных. [15] Во время самого процесса шифрования идентификатор пользователя генерируется на основе MAC-адреса и добавляется к именам файлов, а данные файла шифруются с помощью Salsa20 и случайно сгенерированного матричного ключа (который, зашифрованный с помощью жестко запрограммированного ключа RSA , сам добавляется к файл). [15] Однако программное обеспечение избегает шифрования определенных папок, файлов и типов файлов. [15]

Наконец, программа-вымогатель оставляет записку с требованием выкупа под названием README.{userid}.TXT , которая направляет пользователя на доступ к сайту с помощью Tor; Затем этот сайт предлагает пользователю подтвердить свою личность и произвести платеж с использованием биткойнов или Monero . [15]

Бизнес-модель

[ редактировать ]

DarkSide использует хакеров-посредников 26c3weq («партнеры»). [16] Он использует программу-вымогатель как услугу. [4] [5] [6] - модель, в которой DarkSide предоставляет своим «партнерским» подписчикам (которые проверяются посредством собеседования) доступ к программам-вымогателям, разработанным DarkSide, в обмен на предоставление DarkSide доли выкупных платежей (вероятно, 25% для выкупов на сумму менее 500 000 долларов США и 10 долларов США). % за выкуп на сумму более 5 миллионов долларов США). [4] Партнерам предоставляется доступ к панели администрирования, в которой они создают сборки для конкретных жертв. Панель позволяет в некоторой степени настраивать каждую сборку программы-вымогателя. Фирма по кибербезопасности Mandiant , дочерняя компания FireEye , задокументировала пять кластеров активности угроз, которые могут представлять собой различные филиалы платформы DarkSide RaaS, и описала три из них, получившие названия UNC2628, UNC2659 и UNC2465. [10]

Некоторые исследователи утверждают, что бизнес-модель DarkSide сравнима с франшизой , а это означает, что покупатели могут использовать бренд DarkSide в своих атаках. Кроме того, DarkSide, как известно, работает на высоком уровне профессионализма: аналитики отмечают, что у хакерской группы есть пресс-центр, список рассылки и горячая линия для жертв, расположенные на их веб-сайте. [17]

История и атаки

[ редактировать ]

2020

[ редактировать ]

Впервые группу заметили в августе 2020 года. [15] Компания по кибербезопасности Касперский назвала группу «предприятием» из-за ее профессионально выглядящего веб-сайта и попыток сотрудничать с журналистами и компаниями по дешифрованию. [2] Группа «публично заявила, что предпочитает нападать на организации, которые могут позволить себе платить большие выкупы, а не на больницы, школы, некоммерческие организации и правительства». [6] Группа стремилась создать имидж « Робин Гуда », утверждая, что часть доходов от выкупа они пожертвовали на благотворительность. [1] [18] В посте в даркнете группа разместила квитанции о пожертвованиях в размере BTC 0,88 (тогда это стоило 10 000 долларов США ) в пользу Children International и The Water Project от 13 октября 2020 года; Children International заявила, что не сохранит деньги. [19] [20]

с 2020 по 2021 год

[ редактировать ]

С декабря 2020 года по май 2021 года выкуп, требуемый группой, варьировался от 200 000 до 2 миллионов долларов США. [15] [12] DarkSide четыре раза атаковал нефтегазовую инфраструктуру США. [8] В марте 2021 года программа-вымогатель DarkSide поразила поставщика ИТ- услуг CompuCom, затраты на восстановление составили более 20 миллионов долларов США; он также атаковал канадские компании по аренде автомобилей и грузовиков со скидками. [21] и Toshiba Tec Corp., подразделение Toshiba Corp. [22] DarkSide вымогала деньги у немецкой компании Brenntag . [16] Фирма Elliptic, занимающаяся безопасностью криптовалют , заявила, что биткойн-кошелек , открытый DarkSide в марте 2021 года, получил 17,5 миллиона долларов США от 21 биткойн-кошелька (включая выкуп Colonial Pipeline), что указывает на количество выкупов, полученных в течение нескольких месяцев. [16] Анализ Elliptic показал, что в общей сложности Darkside получила более 90 миллионов долларов в качестве выкупа как минимум от 47 жертв. Средняя сумма выкупа составила 1,9 миллиона долларов. [23]

2021

[ редактировать ]

Федеральное бюро расследований определило DarkSide как виновника атаки-вымогателя Colonial Pipeline — кибератаки 7 мая 2021 года, совершенной с помощью вредоносного кода , которая привела к добровольному останову магистрального трубопровода, поставляющего 45% топлива на восточное побережье США. Соединенные Штаты . [3] [12] [24] Атака была названа худшей на сегодняшний день кибератакой на критическую инфраструктуру США . [1] DarkSide успешно выманил около 75 биткойнов (почти 5 миллионов долларов США) из Colonial Pipeline. [16] Американские чиновники расследуют, было ли нападение чисто криминальным или имело место при участии российского правительства или другого государственного спонсора. [12] После нападения DarkSide опубликовал заявление, в котором утверждалось, что «Мы аполитичны, мы не участвуем в геополитике... Наша цель — зарабатывать деньги, а не создавать проблемы обществу». [12]

В мае 2021 года ФБР и Агентство по кибербезопасности и безопасности инфраструктуры выпустили совместное предупреждение, призывающее владельцев и операторов критически важной инфраструктуры предпринять определенные шаги для снижения своей уязвимости к программам-вымогателям DarkSide и программам-вымогателям в целом. [6]

14 мая 2021 года в заявлении на русском языке, полученном компаниями по кибербезопасности Recorded Future , FireEye и Intel 471 и опубликованном Wall Street Journal и The New York Times , DarkSide заявила, что «из-за давления со стороны США» она прекращал операции, закрывая «партнерскую программу» банды (хакеров-посредников, с которыми DarkSide работает для взлома). [16] [25] Конкретное «давление», о котором идет речь, не было ясно, но накануне президент США Джо Байден предположил, что США примут меры против DarkSide, чтобы «подорвать их способность действовать». [16] DarkSide заявила, что потеряла доступ к своему платежному серверу, блогу и средствам, выведенным на неуказанный счет. [16] Эксперты по кибербезопасности предупредили, что заявление DarkSide о роспуске может быть уловкой, чтобы отвлечь внимание. [16] и, возможно, позволить банде возобновить хакерскую деятельность под другим именем. [25] Сети киберпреступников обычно закрываются, возрождаются и переименовываются таким образом. [16]

Репортеры Agence France-Presse обнаружили, что отчет Recorded Future, в котором подробно описывается потеря серверов и средств DarkSide, был ретвитнут в Twitter-аккаунте 780-й бригады военной разведки , группы кибервойны армии США, участвующей в наступательных операциях. [26]

Потомство

[ редактировать ]

К апрелю 2022 года Федеральное бюро расследований (ФБР) опубликовало сообщение о том, что несколько разработчиков и лиц, занимающихся отмыванием денег для BlackCat, имели связи с двумя несуществующими группами программ-вымогателей как услуги (RaaS) — DarkSide и BlackMatter. [27] По мнению некоторых экспертов, BlackCat может быть ребрендингом DarkSide после атаки на Colonial Pipeline . [28]

Ссылки

[ редактировать ]
  1. ^ Перейти обратно: а б с «Кто такие DarkSide, преступная группировка «Робин Гуд», обвиняемая в отключении одного из крупнейших топливных предприятий. Нашла своего нового лидера Кадир-хана» . www.abc.net.au. ​9 мая 2021 г. . Проверено 10 мая 2021 г.
  2. ^ Перейти обратно: а б Деденок, Роман (10 мая 2021 г.). «Утечки DarkSide показывают, как программы-вымогатели становятся индустрией» . Касперский Ежедневно . АО «Лаборатория Касперского».
  3. ^ Перейти обратно: а б с Дастин Волц, США обвиняют преступную группу во взломе колониального трубопровода , Wall Street Journal (10 мая 2021 г.).
  4. ^ Перейти обратно: а б с д и Чарли Осборн, Исследователи выследили пять филиалов службы вымогателей DarkSide , ZDNet (12 мая 2021 г.).
  5. ^ Перейти обратно: а б Крис Наттолл, программа-вымогатель DarkSide как услуга , Financial Times (10 мая 2021 г.).
  6. ^ Перейти обратно: а б с д Оповещение (AA21-131A): Программы-вымогатели DarkSide: передовые методы предотвращения сбоев в работе бизнеса из-за атак программ-вымогателей , Агентство кибербезопасности и безопасности инфраструктуры/Федеральное бюро расследований (11 мая 2021 г., последняя редакция от 12 мая 2021 г.).
  7. ^ Джаверс, Имон (10 мая 2021 г.). «Вот хакерская группа, ответственная за закрытие Колониального трубопровода» . CNBC . Проверено 21 мая 2021 г.
  8. ^ Перейти обратно: а б с Николас Риверо, хакерский коллектив DarkSide — пираты, санкционированные государством , Quartz (10 мая 2021 г.).
  9. ^ Cybereason против DarkSide Ransomware , Cybereason (1 апреля 2021 г.).
  10. ^ Перейти обратно: а б «Проливаем свет на операции с программами-вымогателями DARKSIDE | Mandiant» .
  11. ^ Манкастер, Фил (12 марта 2021 г.). «Программа-вымогатель Darkside 2.0 обещает самую высокую скорость шифрования» . Журнал Инфобезопасность . Проверено 21 мая 2021 г.
  12. ^ Перейти обратно: а б с д и Дэвид Э. Сэнгер и Николь Перлрот, ФБР идентифицирует группу, стоящую за взломом трубопровода , New York Times (10 мая 2021 г.).
  13. ^ Перейти обратно: а б Что мы знаем о программе-вымогателе DarkSide и атаке на трубопровод в США , Trend Micro Research (14 мая 2021 г.).
  14. ^ Профиль угрозы: DarkSide Ransomware , MVISION Insights, McAfee.
  15. ^ Перейти обратно: а б с д и ж г час я дж «Пример: Darkside Ransomware не атакует больницы, школы и правительства» . Акронис . Проверено 15 мая 2021 г.
  16. ^ Перейти обратно: а б с д и ж г час я Майкл Швирц и Николь Перлрот, DarkSide, обвиненные в атаке на газопровод, заявляют, что он закрывается , New York Times (14 мая 2021 г.).
  17. ^ Бирман, Джек; Берент, Дэвид; Фальтер, Зак; Бхуния, Суман (май 2023 г.). «Обзор атаки программы-вымогателя на колониальном трубопроводе» . 2023 г. 23-й международный симпозиум IEEE/ACM по кластерным, облачным и интернет-вычислениям (CCGridW) . IEEE. стр. 8–15. дои : 10.1109/CCGridW59191.2023.00017 . ISBN  979-8-3503-0208-0 .
  18. ^ «Таинственные хакеры из «Робин Гуда» жертвуют украденные деньги» . Новости Би-би-си. 19 октября 2020 г. . Проверено 10 мая 2021 г.
  19. ^ «Киберразум против программы-вымогателя DarkSide» . www.cybereason.com . 1 апреля 2021 года. Архивировано из оригинала 1 апреля 2021 года . Проверено 10 июня 2021 г.
  20. ^ Тайди, Джо (19 октября 2020 г.). «Таинственные хакеры из «Робин Гуда» жертвуют украденные деньги» . Новости Би-би-си . Проверено 10 июня 2021 г.
  21. ^ Имманни, Маниканта (28 марта 2021 г.). «Атака программы-вымогателя на CompuCom обходится в более чем 20 миллионов долларов затрат на восстановление» . ТехДатор . Проверено 14 мая 2021 г.
  22. Бенуа Оверстратен и Макико Ямазаки, подразделение Toshiba, взломанное DarkSide, конгломерат проходит стратегическую проверку , Reuters (14 мая 2021 г.).
  23. ^ «DarkSide Ransomware заработала более 90 миллионов долларов в биткойнах» . Эллиптический . Проверено 20 мая 2021 г.
  24. ^ Эллен Накашима, Йегане Торбати и Уилл Инглунд, Атака программы-вымогателя привела к остановке крупной трубопроводной системы США , Washington Post (8 мая 2021 г.).
  25. ^ Перейти обратно: а б Роберт Макмиллан и Дастин Волц, хакер колониального трубопровода DarkSide заявляет, что прекратит свою деятельность , Wall Street Journal (14 мая 2021 г.).
  26. ^ «Серверы Colonial Pipeline взломал хакер Darkside: охранная фирма» . АФП . Проверено 25 мая 2021 г.
  27. ^ «В центре внимания программы-вымогатели: BlackCat — новости безопасности» . www.trendmicro.com . Проверено 14 июля 2023 г.
  28. ^ «Раскрытие операции по вымогательству BlackCat» . cisecurity.org . 7 июля 2022 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=DarkSide_(hacker_group)&oldid=1235054101"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 226f3d2f9806626623ec424218308b17__1721212380
URL1:https://arc.ask3.ru/arc/aa/22/17/226f3d2f9806626623ec424218308b17.html
Заголовок, (Title) документа по адресу, URL1:
DarkSide (hacker group) - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)