Коли Colonial Pipeline перекрила свої бензинові труби після успішної кібератаки, компанія стала найпомітнішою і найважливішою жертвою хакерської групи під назвою DarkSide. Але DarkSide – це не окрема спільноста. Це медіаобізнаний, напівпрофесійний стартап і постачальник ПЗ для незаконного ринку хакерів, які шукають простий спосіб захоплювати дані великих компаній і вимагати від них гроші
Як мотивувати команду не збавляти темп у надскладних умовах? Дізнайтесь 25 квітня на форумі «Надлюди» від Forbes. Купуйте квиток за посиланням!
Така гра з кіднепінгом даних, за звітом Chainalysis, 2020-го принесла злочинцям $370 млн у формі викупів. DarkSide і її партнери представляють новий небезпечний різновид нелегальних бізнесів, які працюють разом, щоб залякувати легальні організації як у державному, так і в приватному секторі.
Індустрія кібербезпеки називає бізнес-модель DarkSide – «засоби для вимагання як послуга», бо вона наслідує модель «ПЗ як послуга». Злочинна модель має такий вигляд.
По-перше, надати фінансово вмотивованим кіберзлочинцям найкраще ПЗ для захоплення даних і шифрування файлів жертв по інтернету через легкодоступні темні вебсайти. По-друге, надати послуги навколо цього ПЗ, як-то інструменти, які дають змогу цифровим вимагачам напряму спілкуватися з їхніми жертвами або отримувати IT-підтримку. По-третє, взяти собі частину викупу, якщо жертва його заплатить. DarkSide бере собі більшу частину викупу.
FireEye, компанія з кібербезпеки, чий підрозділ Mandiant допомагає Colonial Pipeline розвʼязати їхню кризу, повідомила, що за свої послуги вони беруть 25% від викупу менше $500 000, і 10% від викупу понад $5 млн. І хоч це немало, в DarkSide розробники ПЗ для вимагання роблять атаки настільки простою справою, що потік клієнтів у FireEye не зменшується.
«Це чудовий спосіб швидко заробити», – пояснює Пітер Крузе, засновник і гендиректор CSIS Security Group, який розповів, що бачив багато випадків використання засобів для вимагання виробництва DarkSide. У випадку із Colonial Pipeline DarkSide сказала, що клієнт, який скористався її послугами, здійснив атаку на трубопровід, що зупинила роботу останнього.
Щоб виділятися в натовпі, DarkSide обіцяє найкращу швидкість шифрування, що дасть змогу заблокувати компʼютери швидше за всіх. Ця група також підтримує атаки на основі операційних систем Microsoft Windows і Linux. З часу її появи в серпні 2020-го група злила дані понад 80 організацій.
Ми можемо так ніколи й не дізнатися про тих, хто саме платив вимагачам, каже трекер злочинних кіберзасобів Бретт Коллоу. «Вони здійснили атаки на принаймні 114 організацій і оприлюднили дані 83, які не заплатили (викуп). Це означає, що принаймні 31 жертва заплатила», – розповідає Коллоу. Враховуючи те, що, за даними стартапу кібербезпеки CyberReason, користувачі DarkSide вимагають суми в діапазоні від $200 000 до $2 млн, то цілком можливо, що загалом вони назбирали $30 млн лише за пів року. Сума може бути й більшою, адже в KrebsOnSecurity повідомили, що з однією компанією-жертвою злочинці вели переговори про викуп у $11 млн. (Члени команди DarkSide не надали коментар із цього приводу).
Погана система кіберзахисту також може стати в нагоді хакерам. Перш ніж застосовувати злочинні засоби від DarkSide, клієнтам нелегального стартапу треба пробитися у внутрішні мережі жертви, а DarkSide таких послуг не надає. Крузе каже, що партнери DarkSide шукають вразливі пристрої, скануючи мережу. Як тільки слабкі місця в системи знайдено, через них можна проникнути до внутрішньої мережі цілі. Потім зловмисникам треба взяти під контроль інші мережеві компʼютери та встановити ПЗ від DarkSide, яке збирає всі дані жертви й закриває їх на віртуальний ключ, за який треба заплатити викуп.
У Colonial Pipeline ще не розкрили подробиць про те, як саме хакнули їхню систему, проте аналіз серверів компанії експертами з кібербезпеки показав кілька шпаринок у захисті, якими зловмисники могли скористатись. Приміром, велику кількість камер спостереження приєднано до IT-інфраструктури компанії, заявив Дерек Ебдайн із кібербезпекової компанії Censys. А Боб Мейлі, колишній керівник кібербезпекою в PayPal і чинний головний директор із кібербезпеки в стартапі Black Kite, який займається захистом від кібератак, каже, що він бачив відкрите дистанційне управління та сервери для обміну файлами, за допомогою яких хакери могли дістатися до внутрішньої мережі компанії, якби вони дізналися логіни.
«Якби я здійснював кібератаку, я б скористався загальнодоступними засобами, аби підʼєднатися до відкритого порту, використав би трохи скрипту і спробував би використати всі облікові дані, які в мене є, а також деякі поширені дані – імена користувачів і паролі за замовчуванням», – додав Мейлі. Така атака на основі облікових даних може відкрити достатній доступ до внутрішньої мережі, щоб почати шукати спосіб встановити вороже ПЗ.
Уже давно існує занепокоєння тим, що бізнеси критично важливої інфраструктури недостатньо підготовлені до атак, які описав Мейлі, хоч вони й далекі від найбільш хитромудрих кібератак сучасності. «Традиційні індустріальні системи контролю й інші схожі інфраструктури були створені головним чином для зберігання інформації всередині та для стабільного й надійного контролю. На жаль, у таких системах майже немає вбудованих засобів безпеки, які б не давали стороннім отримати до них доступ», – пояснює Кріс Пехота, колишній технологічний директор ФБР.
Персонал – це ще одна проблема. Крузе й Мейлі звернули увагу на те, що у Colonial не було нікого, хто б стояв на чолі кібербезпеки. Colonial каже, що їхній головний інформаційний директор, який прийшов 2017-го, намагався налаштувати кібербезпеку. Він провів огляд захисних систем і збільшив загальні витрати на інформаційні технології, у тому числі й кібербезпеку, на понад 50% за останні чотири роки.
Прессекретар Colonial повідомив Forbes, що в компанії були «надійні протоколи і ПЗ, що активно й швидко визначали атаки та запобігали їм», а команда сторонніх аналітиків інциденту визначила, що компанія використовувала «найкращі засоби й методи» для забігання атакам. Ще рано казати про головну причину успіху зловмисників, а будь-які поширені зараз гіпотези не підкріплені фактами, додає представник компанії. Вони відмовилися коментувати, чи заплатили викуп, а також не називають суму викупу.
Власне кібератака – це лише перша частина сучасної індустрії викупів за дані. DarkSide і подібні групи зрозуміли, що їм потрібно контролювати всю історію, використовувати медіа й чинити на жертву якомога більший тиск, щоб та заплатила викуп.
Окрім втрати даних, над жертвами також нависає загроза публічної компрометації. Темні вебсайти, які належать DarkSide й іншим групам, – це не просто площини для зливання даних жертв. Це місця, де вони можуть приваблювати увагу медіа, щоб підвищити ціну власного успіху, і, можливо, збільшити суму викупу, адже компанії погоджуються його сплатити, аби не дискредитувати репутації.
Перші представники такого виду кіберзлочинців-вимагателів, які люблять спілкуватися з громадськістю, виникли наприкінці 2019-го з появою Maze – групи, яка стала відомою після кібернападів на школи США. За даними Коллоу із кібербезпекової компанії Emsisoft, зараз існує приблизно 30 груп, які роблять приблизно те саме.
Ще одна група під назвою Babuk продемонструвала за останній місяць, скільки шкоди може нанести публічна дискредитація, коли вона хакнула Департамент столичної поліції (Metropolitan Police Department) у Вашингтоні, округ Колумбія. Коли поліція не заплатила $4 млн викупу, Babuk почав публікувати особисту інформацію щодо офіцерів.
У новій частині оприлюднених даних 22 офіцерів поліції містилися психологічні оцінки, номери соціального страхування, фінансова інформація та відомості про сімʼю. Babuk навіть опублікував фрагмент спілкування між ним і департаментом, у якому державний орган правопорядку намагався знизити суму викупу до $100 000. Babuk відмовився від такої пропозиції. Департамент поліції визнав факт кібератаки, але не відповів на запит прокоментувати ситуацію на час виходу статті.
У DarkSide використали іншу тактику, намагаючись підвищити свою репутацію. Вони представляють себе як організацію-«робінгуда», яка віддає невелику частину вкрадених грошей на благодійність, завчасно повідомляє про падіння акцій компанії-жертви продавцям, які займаються короткими продажами, і обіцяє не робити напади на певні галузі – лікарні, похоронні бюро, школи, університети, неприбуткові й державні організації.
DarkSide навіть заявляють про те, що здійснюють кібератаки лише на ті компанії, які, за їхніми відомостями, точно можуть заплатити викуп, кажуть, що «не хочуть потопити бізнес». Ось що група написала на початку цього тижня в своєму «пресцентрі» в темній мережі: «Наша мета – це заробити гроші, а не спричинити проблеми в суспільстві».
Одна жертва, Dalton (виробник килимів у Джорджії, який входить до Dixie Group Inc.), розповіла про цьогорічну спробу кібератаки на них із метою отримання викупу та про те, що це вплинуло на «частину їхньої системи інформаційних технологій».
У випадку з Colonial Pipeline в DarkSide, очевидно, пізно зрозуміли, що один із їхніх партнерів націлився на індустрію, яка постачає бензин величезній кількості клієнтів, і «робінгуди» пообіцяли «ввести нагляд і перевірку кожної компанії, дані якої наші партнери хочуть зашифрувати, щоб у майбутньому уникнути наслідків для населення загалом».
Тепер увесь світ спрямував погляди на цю хакерську групу. У «миттєвому повідомленні» до індустрії кіберзахисту й державних установ ФБР розповіло про те, що їхні спеціалісти розслідували діяльність DarkSide ще з жовтня, тобто, вже за два місяці після появи групи. Його детективи й міжнародні партнери останніми місяцями досягають усе більшого успіху в розслідуваннях проти операторів злочинного ПЗ.
Найзначніший прогрес був у січні, коли в Департаменті юстиції США повідомили про те, що вони взяли участь у міжнародній операції зі знешкодження інфраструктури злочинного ПЗ і ботнету, яка відома під назвою Emotet. Із ПЗ, яке експерти називають найнебезпечнішим у світі, Emotet пропонував злочинцям доступ до особистих і корпоративних баз даних компʼютерів. Правоохоронці заарештували підозрюваних адміністраторів, яким висунули звинувачення в Україні, але суду ще й досі не було.
Попри цю справу й схему, яку Emotet створила для розслідування майбутніх кіберзлочинів, єдина влада, якої, схоже, боїться DarkSide, говорить російською – їхнє шкідливе ПЗ не працюватиме, якщо визначить, що компанія, на яку нападають, є російською. Це призвело до звинувачень у тому, що Кремль або підтримує, або переховує зловмисників, які атакують західний бізнес, хоч Путін такі закиди вперто заперечує.
Дмитро Альперович, співзасновник кібербезпекової компанії CrowdStrike, а тепер і виконавчий голова ради неприбуткової організації Silverado Policy Accelerator, каже, що немає прямих доказів про звʼязок DarkSide із російською розвідкою, але додає, що, «враховуючи давню історію держави з переховуванням кіберзлочинців, відсутність доказів ще ні про що не свідчить».
Ви знайшли помилку чи неточність?
Залиште відгук для редакції. Ми врахуємо ваші зауваження якнайшвидше.
