DarkSide (хакерская группа)

ДаркСайд
ДаркСайд
Цель	Программы-вымогатели как услуга
Область	Восточная Европа
Официальный язык	Русский

DarkSide — хакерская группа киберпреступников , предположительно базирующаяся в России , которая нацелена на жертв с помощью программ-вымогателей и вымогательства ; Считается, что именно он стоит за кибератакой на Colonial Pipeline . ^{[ 1 ]}^{[ 2 ]}^{[ 3 ]}^{[ 4 ]} Считается, что только в США им удалось взломать и вымогать деньги примерно у 90 компаний. Группа предоставляет программы-вымогатели как услугу. ^{[ 4 ]}^{[ 5 ]}^{[ 6 ]}

Сама DarkSide утверждает, что она аполитична. ^{[ 7 ]}

Цели

Предполагается, что DarkSide базируется в Восточной Европе , скорее всего, в России, но в отличие от других хакерских групп, ответственных за громкие кибератаки, не предполагается, что она напрямую спонсируется государством (т. е. управляется российскими спецслужбами). ^{[ 3 ]}^{[ 8 ]} DarkSide избегает целей в определенных географических местах, проверяя языковые настройки их системы. Помимо языков 12 нынешних, бывших или основавших стран СНГ, в список исключений входит сирийский арабский язык . ^{[ 9 ]} Эксперты заявляют, что эта группа является «одной из многих коммерческих групп, занимающихся вымогательством, которые распространились и процветают в России», по крайней мере, с неявной санкции российских властей, которые допускают эту деятельность до тех пор, пока она атакует иностранные цели. ^{[ 8 ]} Функцию проверки языка можно отключить при создании экземпляра программы-вымогателя. Одна из таких версий наблюдалась в мае 2021 года. ^{[ 10 ]} Кроме того, DarkSide не нацелен на медицинские центры , школы и некоммерческие организации . ^{[ 11 ]}

Код программы-вымогателя, используемый DarkSide, напоминает программу-вымогатель, используемую REvil , другой хакерской группой; Код REvil недоступен публично, что позволяет предположить, что DarkSide является ответвлением REvil. ^{[ 12 ]} или партнер REvil. ^{[ 4 ]} DarkSide и REvil используют записки о выкупе с одинаковой структурой и один и тот же код, чтобы проверить, что жертва не находится в стране Содружества Независимых Государств (СНГ). ^{[ 13 ]}

По данным Trend Micro Research, США являются наиболее целевой страной DarkSide: более 500 обнаружений, за ними следуют Франция , Бельгия и Канада . ^{[ 13 ]} Из 25 стран, наблюдаемых McAfee, наиболее пострадавшими от атак DarkSide с точки зрения количества пораженных устройств на миллион устройств являются Израиль (1573,28), Малайзия (130,99), Бельгия (106,93), Чили. (103,97), Италия (95,91), Турция (66,82), Австрия (61,19), Украина (56,09), Перу (26,94), США (24,67). ^{[ 14 ]}

По состоянию на июнь 2021 года DarkSide опубликовал данные только одной компании; объем публикуемых данных превышает 200 ГБ. ^{[ 15 ]}

Механизм атаки

Программа-вымогатель DarkSide изначально обходит UAC, используя COM-интерфейс CMSTPLUA. ^{[ 15 ]} Затем программное обеспечение проверяет местоположение и язык системы, чтобы избежать машин в странах бывшего СССР; В список исключенных языков входят русский , украинский , белорусский , таджикский , армянский , азербайджанский , грузинский , казахский , киргизский , туркменский , узбекский , татарский , молдавский румынский и сирийский арабский . ^{[ 15 ]}

Затем программа создает файл с именем LOG.{userid}.TXT , который служит файлом журнала . ^{[ 15 ]} Программное обеспечение удаляет файлы из корзины один за другим, удаляет определенные программы безопасности и резервного копирования, а также завершает процессы, чтобы разрешить доступ к файлам пользовательских данных. ^{[ 15 ]} Во время самого процесса шифрования идентификатор пользователя генерируется на основе MAC-адреса и добавляется к именам файлов, а данные файла шифруются с помощью Salsa20 и случайно сгенерированного матричного ключа (который, зашифрованный с помощью жестко запрограммированного ключа RSA , сам добавляется к файл). ^{[ 15 ]} Однако программное обеспечение избегает шифрования определенных папок, файлов и типов файлов. ^{[ 15 ]}

Наконец, программа-вымогатель оставляет записку с требованием выкупа под названием README.{userid}.TXT , которая направляет пользователя на доступ к сайту с помощью Tor; Затем этот сайт предлагает пользователю подтвердить свою личность и произвести платеж с использованием биткойнов или Monero . ^{[ 15 ]}

Бизнес-модель

DarkSide использует хакеров-посредников 26c3weq («партнеры»). ^{[ 16 ]} Он использует программу-вымогатель как услугу. ^{[ 4 ]}^{[ 5 ]}^{[ 6 ]} - модель, в которой DarkSide предоставляет своим «партнерским» подписчикам (которые проверяются посредством собеседования) доступ к программам-вымогателям, разработанным DarkSide, в обмен на предоставление DarkSide доли выкупных платежей (вероятно, 25% для выкупов на сумму менее 500 000 долларов США и 10 долларов США). % за выкуп на сумму более 5 миллионов долларов США). ^{[ 4 ]} Партнерам предоставляется доступ к панели администрирования, в которой они создают сборки для конкретных жертв. Панель позволяет в некоторой степени настраивать каждую сборку программы-вымогателя. Фирма по кибербезопасности Mandiant , дочерняя компания FireEye , задокументировала пять кластеров активности угроз, которые могут представлять собой различные филиалы платформы DarkSide RaaS, и описала три из них, получившие названия UNC2628, UNC2659 и UNC2465. ^{[ 10 ]}

Некоторые исследователи утверждают, что бизнес-модель DarkSide сравнима с франшизой , а это означает, что покупатели могут использовать бренд DarkSide в своих атаках. Кроме того, DarkSide, как известно, работает на высоком уровне профессионализма: аналитики отмечают, что у хакерской группы есть пресс-центр, список рассылки и горячая линия для жертв, расположенные на их веб-сайте. ^{[ 17 ]}

История и атаки

2020

Впервые группу заметили в августе 2020 года. ^{[ 15 ]} Компания по кибербезопасности Касперский назвала группу «предприятием» из-за ее профессионально выглядящего веб-сайта и попыток сотрудничать с журналистами и компаниями по дешифрованию. ^{[ 2 ]} Группа «публично заявила, что предпочитает нападать на организации, которые могут позволить себе платить большие выкупы, а не на больницы, школы, некоммерческие организации и правительства». ^{[ 6 ]} Группа стремилась создать имидж « Робин Гуда », утверждая, что часть доходов от выкупа они пожертвовали на благотворительность. ^{[ 1 ]}^{[ 18 ]} В посте в даркнете группа разместила квитанции о пожертвованиях в размере BTC 0,88 (тогда это стоило 10 000 долларов США ) в пользу Children International и The Water Project от 13 октября 2020 года; Children International заявила, что не сохранит деньги. ^{[ 19 ]}^{[ 20 ]}

с 2020 по 2021 год

С декабря 2020 года по май 2021 года выкуп, требуемый группой, варьировался от 200 000 до 2 миллионов долларов США. ^{[ 15 ]}^{[ 12 ]} DarkSide четыре раза атаковал нефтегазовую инфраструктуру США. ^{[ 8 ]} В марте 2021 года программа-вымогатель DarkSide поразила поставщика ИТ- услуг CompuCom, затраты на восстановление составили более 20 миллионов долларов США; он также атаковал канадские компании по аренде автомобилей и грузовиков со скидками. ^{[ 21 ]} и Toshiba Tec Corp., подразделение Toshiba Corp. ^{[ 22 ]} DarkSide вымогала деньги у немецкой компании Brenntag . ^{[ 16 ]} Фирма Elliptic, занимающаяся безопасностью криптовалют , заявила, что биткойн-кошелек , открытый DarkSide в марте 2021 года, получил 17,5 миллиона долларов США от 21 биткойн-кошелька (включая выкуп Colonial Pipeline), что указывает на количество выкупов, полученных в течение нескольких месяцев. ^{[ 16 ]} Анализ Elliptic показал, что в общей сложности Darkside получила более 90 миллионов долларов в качестве выкупа как минимум от 47 жертв. Средняя сумма выкупа составила 1,9 миллиона долларов. ^{[ 23 ]}

2021

Федеральное бюро расследований определило DarkSide как виновника атаки-вымогателя Colonial Pipeline — кибератаки 7 мая 2021 года, совершенной с помощью вредоносного кода , которая привела к добровольному останову магистрального трубопровода, поставляющего 45% топлива на восточное побережье США. Соединенные Штаты . ^{[ 3 ]}^{[ 12 ]}^{[ 24 ]} Атака была названа худшей на сегодняшний день кибератакой на критическую инфраструктуру США . ^{[ 1 ]} DarkSide успешно выманил около 75 биткойнов (почти 5 миллионов долларов США) из Colonial Pipeline. ^{[ 16 ]} Американские чиновники расследуют, было ли нападение чисто криминальным или имело место при участии российского правительства или другого государственного спонсора. ^{[ 12 ]} После нападения DarkSide опубликовал заявление, в котором утверждалось, что «Мы аполитичны, мы не участвуем в геополитике... Наша цель — зарабатывать деньги, а не создавать проблемы обществу». ^{[ 12 ]}

В мае 2021 года ФБР и Агентство по кибербезопасности и безопасности инфраструктуры выпустили совместное предупреждение, призывающее владельцев и операторов критически важной инфраструктуры предпринять определенные шаги для снижения своей уязвимости к программам-вымогателям DarkSide и программам-вымогателям в целом. ^{[ 6 ]}

14 мая 2021 года в заявлении на русском языке, полученном компаниями по кибербезопасности Recorded Future , FireEye и Intel 471 и опубликованном Wall Street Journal и The New York Times , DarkSide заявила, что «из-за давления со стороны США» она прекращал операции, закрывая «партнерскую программу» банды (хакеров-посредников, с которыми DarkSide работает для взлома). ^{[ 16 ]}^{[ 25 ]} Конкретное «давление», о котором идет речь, не было ясно, но накануне президент США Джо Байден предположил, что США примут меры против DarkSide, чтобы «подорвать их способность действовать». ^{[ 16 ]} DarkSide заявила, что потеряла доступ к своему платежному серверу, блогу и средствам, выведенным на неуказанный счет. ^{[ 16 ]} Эксперты по кибербезопасности предупредили, что заявление DarkSide о роспуске может быть уловкой, чтобы отвлечь внимание. ^{[ 16 ]} и, возможно, позволить банде возобновить хакерскую деятельность под другим именем. ^{[ 25 ]} Сети киберпреступников обычно закрываются, возрождаются и переименовываются таким образом. ^{[ 16 ]}

Репортеры Agence France-Presse обнаружили, что отчет Recorded Future, в котором подробно описывается потеря серверов и средств DarkSide, был ретвитнут в Twitter-аккаунте 780-й бригады военной разведки , группы кибервойны армии США, участвующей в наступательных операциях. ^{[ 26 ]}

Потомство

К апрелю 2022 года Федеральное бюро расследований (ФБР) опубликовало сообщение о том, что несколько разработчиков и лиц, занимающихся отмыванием денег для BlackCat, имели связи с двумя несуществующими группами программ-вымогателей как услуги (RaaS) — DarkSide и BlackMatter. ^{[ 27 ]} По мнению некоторых экспертов, BlackCat может быть ребрендингом DarkSide после атаки на Colonial Pipeline . ^{[ 28 ]}

Ссылки

^ Перейти обратно: ^а ^б ^с «Кто такие DarkSide, преступная группировка «Робин Гуд», обвиняемая в отключении одного из крупнейших топливных предприятий. Нашла своего нового лидера Кадир-хана» . www.abc.net.au. 9 мая 2021 г. . Проверено 10 мая 2021 г.
^ Перейти обратно: ^а ^б Деденок, Роман (10 мая 2021 г.). «Утечки DarkSide показывают, как программы-вымогатели становятся индустрией» . Касперский Ежедневно . АО «Лаборатория Касперского».
^ Перейти обратно: ^а ^б ^с Дастин Волц, США обвиняют преступную группу во взломе колониального трубопровода , Wall Street Journal (10 мая 2021 г.).
^ Перейти обратно: ^а ^б ^с ^д ^и Чарли Осборн, Исследователи выследили пять филиалов службы вымогателей DarkSide , ZDNet (12 мая 2021 г.).
^ Перейти обратно: ^а ^б Крис Наттолл, программа-вымогатель DarkSide как услуга , Financial Times (10 мая 2021 г.).
^ Перейти обратно: ^а ^б ^с ^д Оповещение (AA21-131A): Программы-вымогатели DarkSide: передовые методы предотвращения сбоев в работе бизнеса из-за атак программ-вымогателей , Агентство кибербезопасности и безопасности инфраструктуры/Федеральное бюро расследований (11 мая 2021 г., последняя редакция от 12 мая 2021 г.).
^ Джаверс, Имон (10 мая 2021 г.). «Вот хакерская группа, ответственная за закрытие Колониального трубопровода» . CNBC . Проверено 21 мая 2021 г.
^ Перейти обратно: ^а ^б ^с Николас Риверо, хакерский коллектив DarkSide — пираты, санкционированные государством , Quartz (10 мая 2021 г.).
^ Cybereason против DarkSide Ransomware , Cybereason (1 апреля 2021 г.).
^ Перейти обратно: ^а ^б «Проливаем свет на операции с программами-вымогателями DARKSIDE | Mandiant» .
^ Манкастер, Фил (12 марта 2021 г.). «Программа-вымогатель Darkside 2.0 обещает самую высокую скорость шифрования» . Журнал Инфобезопасность . Проверено 21 мая 2021 г.
^ Перейти обратно: ^а ^б ^с ^д ^и Дэвид Э. Сэнгер и Николь Перлрот, ФБР идентифицирует группу, стоящую за взломом трубопровода , New York Times (10 мая 2021 г.).
^ Перейти обратно: ^а ^б Что мы знаем о программе-вымогателе DarkSide и атаке на трубопровод в США , Trend Micro Research (14 мая 2021 г.).
^ Профиль угрозы: DarkSide Ransomware , MVISION Insights, McAfee.
^ Перейти обратно: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж «Пример: Darkside Ransomware не атакует больницы, школы и правительства» . Акронис . Проверено 15 мая 2021 г.
^ Перейти обратно: ^а ^б ^с ^д ^и ^ж ^г ^час ^я Майкл Швирц и Николь Перлрот, DarkSide, обвиненные в атаке на газопровод, заявляют, что он закрывается , New York Times (14 мая 2021 г.).
^ Бирман, Джек; Берент, Дэвид; Фальтер, Зак; Бхуния, Суман (май 2023 г.). «Обзор атаки программы-вымогателя на колониальном трубопроводе» . 2023 г. 23-й международный симпозиум IEEE/ACM по кластерным, облачным и интернет-вычислениям (CCGridW) . IEEE. стр. 8–15. дои : 10.1109/CCGridW59191.2023.00017 . ISBN 979-8-3503-0208-0 .
^ «Таинственные хакеры из «Робин Гуда» жертвуют украденные деньги» . Новости Би-би-си. 19 октября 2020 г. . Проверено 10 мая 2021 г.
^ «Киберразум против программы-вымогателя DarkSide» . www.cybereason.com . 1 апреля 2021 года. Архивировано из оригинала 1 апреля 2021 года . Проверено 10 июня 2021 г.
^ Тайди, Джо (19 октября 2020 г.). «Таинственные хакеры из «Робин Гуда» жертвуют украденные деньги» . Новости Би-би-си . Проверено 10 июня 2021 г.
^ Имманни, Маниканта (28 марта 2021 г.). «Атака программы-вымогателя на CompuCom обходится в более чем 20 миллионов долларов затрат на восстановление» . ТехДатор . Проверено 14 мая 2021 г.
↑ Бенуа Оверстратен и Макико Ямазаки, подразделение Toshiba, взломанное DarkSide, конгломерат проходит стратегическую проверку , Reuters (14 мая 2021 г.).
^ «DarkSide Ransomware заработала более 90 миллионов долларов в биткойнах» . Эллиптический . Проверено 20 мая 2021 г.
^ Эллен Накашима, Йегане Торбати и Уилл Инглунд, Атака программы-вымогателя привела к остановке крупной трубопроводной системы США , Washington Post (8 мая 2021 г.).
^ Перейти обратно: ^а ^б Роберт Макмиллан и Дастин Волц, хакер колониального трубопровода DarkSide заявляет, что прекратит свою деятельность , Wall Street Journal (14 мая 2021 г.).
^ «Серверы Colonial Pipeline взломал хакер Darkside: охранная фирма» . АФП . Проверено 25 мая 2021 г.
^ «В центре внимания программы-вымогатели: BlackCat — новости безопасности» . www.trendmicro.com . Проверено 14 июля 2023 г.
^ «Раскрытие операции по вымогательству BlackCat» . cisecurity.org . 7 июля 2022 г.

[abc-1] Перейти обратно: ^а ^б ^с «Кто такие DarkSide, преступная группировка «Робин Гуд», обвиняемая в отключении одного из крупнейших топливных предприятий. Нашла своего нового лидера Кадир-хана» . www.abc.net.au. 9 мая 2021 г. . Проверено 10 мая 2021 г.

[Kaspersky-2] Перейти обратно: ^а ^б Деденок, Роман (10 мая 2021 г.). «Утечки DarkSide показывают, как программы-вымогатели становятся индустрией» . Касперский Ежедневно . АО «Лаборатория Касперского».

[CriminalGroupWSJ-3] Перейти обратно: ^а ^б ^с Дастин Волц, США обвиняют преступную группу во взломе колониального трубопровода , Wall Street Journal (10 мая 2021 г.).

[Osborne-4] Перейти обратно: ^а ^б ^с ^д ^и Чарли Осборн, Исследователи выследили пять филиалов службы вымогателей DarkSide , ZDNet (12 мая 2021 г.).

[:0-5] Перейти обратно: ^а ^б Крис Наттолл, программа-вымогатель DarkSide как услуга , Financial Times (10 мая 2021 г.).

[CISA-6] Перейти обратно: ^а ^б ^с ^д Оповещение (AA21-131A): Программы-вымогатели DarkSide: передовые методы предотвращения сбоев в работе бизнеса из-за атак программ-вымогателей , Агентство кибербезопасности и безопасности инфраструктуры/Федеральное бюро расследований (11 мая 2021 г., последняя редакция от 12 мая 2021 г.).

[7] Джаверс, Имон (10 мая 2021 г.). «Вот хакерская группа, ответственная за закрытие Колониального трубопровода» . CNBC . Проверено 21 мая 2021 г.

[Rivero-8] Перейти обратно: ^а ^б ^с Николас Риверо, хакерский коллектив DarkSide — пираты, санкционированные государством , Quartz (10 мая 2021 г.).

[9] Cybereason против DarkSide Ransomware , Cybereason (1 апреля 2021 г.).

[Mandiant-10] Перейти обратно: ^а ^б «Проливаем свет на операции с программами-вымогателями DARKSIDE | Mandiant» .

[11] Манкастер, Фил (12 марта 2021 г.). «Программа-вымогатель Darkside 2.0 обещает самую высокую скорость шифрования» . Журнал Инфобезопасность . Проверено 21 мая 2021 г.

[SangerPerlroth-12] Перейти обратно: ^а ^б ^с ^д ^и Дэвид Э. Сэнгер и Николь Перлрот, ФБР идентифицирует группу, стоящую за взломом трубопровода , New York Times (10 мая 2021 г.).

[TrendMicro-13] Перейти обратно: ^а ^б Что мы знаем о программе-вымогателе DarkSide и атаке на трубопровод в США , Trend Micro Research (14 мая 2021 г.).

[14] Профиль угрозы: DarkSide Ransomware , MVISION Insights, McAfee.

[Acronis-15] Перейти обратно: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж «Пример: Darkside Ransomware не атакует больницы, школы и правительства» . Акронис . Проверено 15 мая 2021 г.

[SchwirtzPerlroth-16] Перейти обратно: ^а ^б ^с ^д ^и ^ж ^г ^час ^я Майкл Швирц и Николь Перлрот, DarkSide, обвиненные в атаке на газопровод, заявляют, что он закрывается , New York Times (14 мая 2021 г.).

[17] Бирман, Джек; Берент, Дэвид; Фальтер, Зак; Бхуния, Суман (май 2023 г.). «Обзор атаки программы-вымогателя на колониальном трубопроводе» . 2023 г. 23-й международный симпозиум IEEE/ACM по кластерным, облачным и интернет-вычислениям (CCGridW) . IEEE. стр. 8–15. дои : 10.1109/CCGridW59191.2023.00017 . ISBN 979-8-3503-0208-0 .

[BBC-18] «Таинственные хакеры из «Робин Гуда» жертвуют украденные деньги» . Новости Би-би-си. 19 октября 2020 г. . Проверено 10 мая 2021 г.

[19] «Киберразум против программы-вымогателя DarkSide» . www.cybereason.com . 1 апреля 2021 года. Архивировано из оригинала 1 апреля 2021 года . Проверено 10 июня 2021 г.

[20] Тайди, Джо (19 октября 2020 г.). «Таинственные хакеры из «Робин Гуда» жертвуют украденные деньги» . Новости Би-би-си . Проверено 10 июня 2021 г.

[21] Имманни, Маниканта (28 марта 2021 г.). «Атака программы-вымогателя на CompuCom обходится в более чем 20 миллионов долларов затрат на восстановление» . ТехДатор . Проверено 14 мая 2021 г.

[22] Бенуа Оверстратен и Макико Ямазаки, подразделение Toshiba, взломанное DarkSide, конгломерат проходит стратегическую проверку , Reuters (14 мая 2021 г.).

[Elliptic-23] «DarkSide Ransomware заработала более 90 миллионов долларов в биткойнах» . Эллиптический . Проверено 20 мая 2021 г.

[24] Эллен Накашима, Йегане Торбати и Уилл Инглунд, Атака программы-вымогателя привела к остановке крупной трубопроводной системы США , Washington Post (8 мая 2021 г.).

[WSJMay14-25] Перейти обратно: ^а ^б Роберт Макмиллан и Дастин Волц, хакер колониального трубопровода DarkSide заявляет, что прекратит свою деятельность , Wall Street Journal (14 мая 2021 г.).

[AFP-26] «Серверы Colonial Pipeline взломал хакер Darkside: охранная фирма» . АФП . Проверено 25 мая 2021 г.

[:02-27] «В центре внимания программы-вымогатели: BlackCat — новости безопасности» . www.trendmicro.com . Проверено 14 июля 2023 г.

[28] «Раскрытие операции по вымогательству BlackCat» . cisecurity.org . 7 июля 2022 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]

[ 23 ]

[ 24 ]

[ 25 ]

[ 26 ]

[ 27 ]

[ 28 ]