stringtranslate.com

DarkSide (хакерская группа)

DarkSide — это киберпреступная хакерская группа, предположительно базирующаяся в России , которая нападает на своих жертв, используя программы-вымогатели и вымогательство ; считается, что она стоит за кибератакой Colonial Pipeline . [1] [2] [3] [4] Группа предоставляет программы-вымогатели как услугу. [4] [5] [6]

DarkSide сама по себе заявляет о своей аполитичности. [7]

Цели

Предполагается, что DarkSide базируется в Восточной Европе , вероятно, в России, но в отличие от других хакерских групп, ответственных за громкие кибератаки, она, как полагают, не спонсируется напрямую государством (т. е. не управляется российскими спецслужбами). [3] [8] DarkSide избегает целей в определенных географических точках, проверяя настройки языка их системы. В дополнение к языкам 12 нынешних, бывших или основавших стран СНГ список исключений содержит сирийский арабский . [9] Эксперты утверждают, что группа является «одной из многих коммерческих групп программ-вымогателей, которые распространились и процветают в России» по крайней мере с неявной санкции российских властей, которые позволяют этой деятельности происходить, пока она атакует иностранные цели. [8] Функция проверки языка может быть отключена при создании экземпляра программы-вымогателя. Одна из таких версий была замечена в мае 2021 года. [10] Кроме того, DarkSide не нацелена на медицинские центры , школы и некоммерческие организации . [11]

Код вымогателя, используемый DarkSide, напоминает программное обеспечение вымогателя, используемое REvil , другой хакерской группой; код REvil не является общедоступным, что позволяет предположить, что DarkSide является ответвлением REvil [12] или партнером REvil. [4] DarkSide и REvil используют схожие по структуре записки о выкупе и один и тот же код для проверки того, что жертва не находится в стране Содружества Независимых Государств (СНГ). [13]

По данным Trend Micro Research, США являются наиболее целевой страной DarkSide, где было зафиксировано более 500 обнаружений, за ними следуют Франция , Бельгия и Канада . [13] Из 25 стран, наблюдаемых McAfee, наиболее пострадавшими от атак DarkSide с точки зрения количества затронутых устройств на миллион устройств являются Израиль (1573,28), Малайзия (130,99), Бельгия (106,93), Чили (103,97), Италия (95,91), Турция (66,82), Австрия (61,19), Украина (56,09), Перу (26,94), США (24,67). [14]

По состоянию на июнь 2021 года DarkSide опубликовала данные только одной компании; объем опубликованных данных превышает 200 ГБ. [15]

Механизм атаки

Первоначально программа-вымогатель DarkSide обходит UAC , используя интерфейс COM CMSTPLUA. [15] Затем программное обеспечение проверяет местоположение и язык системы, чтобы избежать машин в странах бывшего Советского Союза; список языков, которые исключаются, включает русский , украинский , белорусский , таджикский , армянский , азербайджанский , грузинский , казахский , киргизский , туркменский , узбекский , татарский , молдавский, румынский и сирийский арабский . [15]

Затем программное обеспечение создает файл с именем LOG.{userid}.TXT , который служит в качестве файла журнала . [15] Программное обеспечение удаляет файлы в корзине один за другим, удаляет определенные программы безопасности и резервного копирования и завершает процессы, чтобы разрешить доступ к файлам пользовательских данных. [15] Во время самого процесса шифрования идентификатор пользователя генерируется на основе MAC-адреса и добавляется к именам файлов, а данные файла шифруются с помощью Salsa20 и случайно сгенерированного матричного ключа (который, зашифрованный с помощью жестко закодированного ключа RSA , сам добавляется к файлу). [15] Однако программное обеспечение избегает шифрования определенных папок, файлов и типов файлов. [15]

Наконец, вирус-вымогатель оставляет записку с требованием выкупа под названием README.{userid}.TXT , которая направляет пользователя на сайт с Tor; затем этот сайт предлагает пользователю подтвердить свою личность и произвести платеж с помощью Bitcoin или Monero . [15]

Бизнес-модель

DarkSide использует хакеров-посредников 26c3weq («аффилированные лица»). [16] Он использует «программу-вымогатель как услугу» [4] [5] [6] — модель, в которой DarkSide предоставляет своим «аффилированным» подписчикам (которые отбираются посредством интервью) доступ к программе-вымогателю, разработанной DarkSide, в обмен на предоставление DarkSide доли от выкупных платежей (очевидно, 25% для выкупов менее 500 000 долларов США и 10% для выкупов более 5 миллионов долларов США). [4] Аффилированным лицам предоставляется доступ к административной панели, на которой они создают сборки для конкретных жертв. Панель допускает некоторую степень настройки для каждой сборки программы-вымогателя. Компания Mandiant , занимающаяся кибербезопасностью и являющаяся дочерней компанией FireEye , задокументировала пять кластеров угроз, которые могут представлять различные филиалы платформы DarkSide RaaS, и описала три из них, обозначенные как UNC2628, UNC2659 и UNC2465. [10]

Некоторые исследователи утверждают, что бизнес-модель DarkSide сопоставима с франшизой , что означает, что покупатели могут использовать брендинг DarkSide в своих атаках. Кроме того, DarkSide известна тем, что работает на уровне профессионализма, поскольку аналитики отмечают, что у хакерской группы есть пресс-центр, список рассылки и горячая линия для жертв, которые можно найти на их веб-сайте. [17]

История и атаки

2020

Группа была впервые замечена в августе 2020 года. [15] Компания по кибербезопасности Kaspersky описала группу как «предприятие» из-за ее профессионально выглядящего веб-сайта и попыток сотрудничать с журналистами и компаниями по дешифрованию. [2] Группа «публично заявила, что предпочитает нацеливаться на организации, которые могут позволить себе платить большие выкупы, а не на больницы, школы, некоммерческие организации и правительства». [6] Группа стремилась создать образ « Робин Гуда », утверждая, что они пожертвовали часть своих доходов от выкупа на благотворительность. [1] [18] В сообщении в даркнете группа опубликовала квитанции о пожертвованиях в размере 0,88 BTC  (тогда это стоило 10 000 долларов США ) в пользу Children International и The Water Project, датированные 13 октября 2020 года; Children International заявила, что не будет оставлять деньги себе. [19] [20]

2020-2021

С декабря 2020 года по май 2021 года выкупы, требуемые группой, составляли от 200 000 до 2 миллионов долларов США. [15] [12] DarkSide атаковала инфраструктуру нефтегазовой отрасли США четыре раза. [8] В марте 2021 года вирус-вымогатель DarkSide атаковал поставщика управляемых ИТ-услуг CompuCom, что обошлось в более чем 20 миллионов долларов США на восстановление; он также атаковал Canadian Discount Car and Truck Rentals [21] и Toshiba Tec Corp., подразделение Toshiba Corp. [22] DarkSide вымогал деньги у немецкой компании Brenntag . [16] Компания по безопасности криптовалют Elliptic заявила, что биткойн-кошелек, открытый DarkSide в марте 2021 года, получил 17,5 миллионов долларов США с 21 биткойн-кошелька (включая выкуп Colonial Pipeline), что указывает на количество выкупов, полученных в течение нескольких месяцев. [16] Анализ Elliptic показал, что в общей сложности Darkside получил более $90 млн в качестве выкупов от по меньшей мере 47 жертв. Средний размер выкупа составил $1,9 млн. [23]

2021

Федеральное бюро расследований идентифицировало DarkSide как виновника атаки с использованием вируса-вымогателя на Colonial Pipeline , кибератаки 7 мая 2021 года, совершенной вредоносным кодом , которая привела к добровольному отключению основного трубопровода, поставляющего 45% топлива на восточное побережье США . [3] [12] [24] Атака была описана как самая страшная кибератака на сегодняшний день на критическую инфраструктуру США . [1] DarkSide успешно вымогала около 75 биткойнов (почти 5 миллионов долларов США) у Colonial Pipeline. [16] Чиновники США расследуют, была ли атака чисто преступной или имела место при участии российского правительства или другого государственного спонсора. [12] После атаки DarkSide опубликовала заявление, в котором утверждала, что «Мы аполитичны, мы не участвуем в геополитике... Наша цель — зарабатывать деньги, а не создавать проблемы для общества». [12]

В мае 2021 года ФБР и Агентство по кибербезопасности и безопасности инфраструктуры выпустили совместное предупреждение, призывающее владельцев и операторов критически важной инфраструктуры предпринять определенные шаги для снижения своей уязвимости к программам-вымогателям DarkSide и программам-вымогателям в целом. [6]

14 мая 2021 года в заявлении на русском языке, полученном фирмами по кибербезопасности Recorded Future , FireEye и Intel 471 и опубликованном Wall Street Journal и The New York Times , DarkSide заявила, что «из-за давления со стороны США» она прекращает свою деятельность, закрывая «партнерскую программу» банды (хакеров-посредников, с которыми DarkSide работает для взлома). [16] [25] Конкретное «давление», о котором идет речь, не ясно, но накануне президент США Джо Байден предположил, что США примут меры против DarkSide, чтобы «нарушить их способность работать». [16] DarkSide заявила, что потеряла доступ к своему платежному серверу, блогу и средствам, выведенным на неуказанный счет. [16] Эксперты по кибербезопасности предупредили, что заявление DarkSide о роспуске может быть уловкой, чтобы отвлечь внимание [16] и, возможно, позволить банде возобновить хакерскую деятельность под другим названием. [25] Киберпреступные сети часто закрываются, возрождаются и меняют название подобным образом. [16]

Репортеры Agence France-Presse обнаружили, что отчет Recorded Future, в котором подробно описывалась потеря серверов и средств DarkSide, был ретвитнут аккаунтом Twitter 780-й бригады военной разведки , кибервойсковой группы армии США, участвующей в наступательных операциях. [26]

Потомство

К апрелю 2022 года Федеральное бюро расследований (ФБР) опубликовало сообщение о том, что несколько разработчиков и отмывателей денег для BlackCat имели связи с двумя прекратившими свое существование группами , предлагавшими программы-вымогатели как услугу (RaaS) — DarkSide и BlackMatter. [27] По мнению некоторых экспертов, BlackCat может быть ребрендингом DarkSide после их атаки на Colonial Pipeline . [28]

Ссылки

  1. ^ abc "Кто такие DarkSide, преступная группировка "Робин Гуд", обвиняемая в закрытии одного из крупнейших топливных предприятий, нашла своего нового лидера Кадира Хана". www.abc.net.au . 9 мая 2021 г. . Получено 10 мая 2021 г. .
  2. ^ ab Деденок, Роман (10 мая 2021 г.). «Утечки DarkSide показывают, как программы-вымогатели становятся индустрией». Kaspersky Daily . АО «Лаборатория Касперского».
  3. ^ abc Дастин Фольц, США обвиняют преступную группировку во взломе трубопровода в Колониальном регионе, Wall Street Journal (10 мая 2021 г.).
  4. ^ abcde Чарли Осборн, Исследователи отслеживают пять филиалов сервиса вымогателей DarkSide, ZDNet (12 мая 2021 г.).
  5. ^ Крис Наттолл, Программа-вымогатель как услуга DarkSide, Financial Times (10 мая 2021 г.).
  6. ^ Оповещение abcd (AA21-131A): DarkSide Ransomware: лучшие практики по предотвращению сбоев в работе бизнеса из-за атак программ-вымогателей, Агентство по кибербезопасности и безопасности инфраструктуры/Федеральное бюро расследований (11 мая 2021 г., последняя редакция 12 мая 2021 г.).
  7. ^ Javers, Eamon (10 мая 2021 г.). «Вот хакерская группа, ответственная за закрытие Colonial Pipeline». CNBC . Получено 21 мая 2021 г.
  8. ^ abc Николас Риверо, Хакерский коллектив DarkSide — это санкционированные государством пираты, Quartz (10 мая 2021 г.).
  9. ^ Cybereason против DarkSide Ransomware, Cybereason (1 апреля 2021 г.).
  10. ^ ab «Проливая свет на операции DARKSIDE Ransomware | Mandiant».
  11. ^ Манкастер, Фил (12 марта 2021 г.). «Darkside 2.0 Ransomware обещает самую высокую скорость шифрования». Журнал Infosecurity . Получено 21 мая 2021 г.
  12. ^ abcde Дэвид Э. Сэнгер и Николь Перлрот, ФБР идентифицирует группу, стоящую за взломом трубопровода, New York Times (10 мая 2021 г.).
  13. ^ ab Что мы знаем о программе-вымогателе DarkSide и атаке на трубопровод США, Trend Micro Research (14 мая 2021 г.).
  14. ^ Профиль угрозы: DarkSide Ransomware, MVISION Insights, McAfee.
  15. ^ abcdefghij "Исследование случая: Darkside Ransomware не атакует больницы, школы и правительства". Acronis . Получено 15 мая 2021 г.
  16. ^ abcdefghi Майкл Швирц и Николь Перлрот, DarkSide, обвиняемая в нападении на газопровод, заявляет о его закрытии, New York Times (14 мая 2021 г.).
  17. ^ Бирман, Джек; Берент, Дэвид; Фальтер, Зак; Бхуния, Суман (май 2023 г.). «Обзор атаки программ-вымогателей Colonial Pipeline». 2023 IEEE/ACM 23-й Международный симпозиум по кластерным, облачным и интернет-вычислениям (CCGridW) . IEEE. стр. 8–15. doi :10.1109/CCGridW59191.2023.00017. ISBN 979-8-3503-0208-0.
  18. ^ «Таинственные хакеры «Робин Гуд» жертвуют украденные деньги». BBC News. 19 октября 2020 г. Получено 10 мая 2021 г.
  19. ^ "Cybereason против DarkSide Ransomware". www.cybereason.com . 1 апреля 2021 г. Архивировано из оригинала 1 апреля 2021 г. Получено 10 июня 2021 г.
  20. Tidy, Joe (19 октября 2020 г.). «Таинственные хакеры «Робин Гуд» жертвуют украденные деньги». BBC News . Получено 10 июня 2021 г. .
  21. ^ Имманни, Маниканта (28 марта 2021 г.). «Атака программ-вымогателей на CompuCom обошлась в более чем 20 миллионов долларов на восстановление». TechDator . Получено 14 мая 2021 г. .
  22. Бенуа Оверстратен и Макико Ямазаки, подразделение Toshiba, взломанное DarkSide, конгломерат подвергнется стратегической проверке, Reuters (14 мая 2021 г.).
  23. ^ "DarkSide Ransomware заработал более 90 миллионов долларов в биткоинах". Elliptic . Получено 20 мая 2021 г. .
  24. Эллен Накашима, Йегане Торбати и Уилл Инглунд, Атака с использованием вирусов-вымогателей привела к остановке работы крупной трубопроводной системы США, Washington Post (8 мая 2021 г.).
  25. ^ Роберт Макмиллан и Дастин Фольц, «Хакер колониального трубопровода DarkSide заявил, что прекратит свою деятельность», Wall Street Journal (14 мая 2021 г.).
  26. ^ "Серверы хакера Darkside из Colonial Pipeline были принудительно отключены: фирма безопасности". AFP . Получено 25 мая 2021 г. .
  27. ^ "В центре внимания программы-вымогатели: BlackCat - Новости безопасности". www.trendmicro.com . Получено 14 июля 2023 г. .
  28. ^ «Разбор операции BlackCat Ransomware». cisecurity.org . 7 июля 2022 г.