DarkSide, одна из самых нестандартных групп среди тех, которые сегодня занимаются хакерской деятельностью с целью получения выкупа. /Getty Images
Категория
Инновации
Дата

Криминальный стартап, который взломал Colonial Pipeline. Как работает хакерская группа DarkSide

7 хв читання

DarkSide, одна из самых нестандартных групп среди тех, которые сегодня занимаются хакерской деятельностью с целью получения выкупа. Фото Getty Images

Когда Colonial Pipeline перекрыла свои бензиновые трубы после успешной кибератаки, компания стала наиболее заметной и важной жертвой хакерской группы под названием DarkSide. Но DarkSide – это не отдельное сообщество. Это медиаосведомленный, полупрофессиональный стартап и поставщик ПО для незаконного рынка хакеров, ищущих простой способ захватывать данные крупных компаний и вымогать от них деньги

Такая игра с киднеппингом данных, по отчету Chainalysis,в 2020 году принесла преступникам денежные поступления на сумму $370 млн в форме выкупов. DarkSide и ее партнеры представляют новый опасный вид нелегальных бизнесов, которые работают сообща, чтобы запугивать легальные организации как в государственном, так и в частном секторе.

Индустрия кибербезопасности называет бизнес-модель DarkSide – «средства для вымогательства как услуга», потому что она подражает модели «ПО как услуга». Преступная модель выглядит следующим образом.

Во-первых, предоставить финансово мотивированным киберпреступникам лучшее ПО для захвата данных и шифрования файлов жертв по интернету через легкодоступные темные вебсайты. Во-вторых, предоставить услуги вокруг этого ПО, как-то инструменты, которые позволяют цифровым вымогателям напрямую общаться с их жертвами или получать IT-поддержку. В-третьих, взять себе часть выкупа, если жертва его заплатит. DarkSide берет себе большую часть выкупа.

FireEye, компания по кибербезопасности, чье подразделение Mandiant помогает Colonial Pipeline разрешить их кризис, сообщила, что за свои услуги они берут 25% от выкупа менее $500 000, и 10% от выкупа более $5 млн. И хотя это немало, в DarkSide разработчики ПО для вымогательства делают атаки настолько простым делом, что поток клиентов у FireEye не уменьшается.

«Это способ быстро заработать», – объясняет Питер Крузе, основатель и гендиректор CSIS Security Group, который рассказал, что видел много случаев использования средств для вымогательства производства DarkSide. В случае с Colonial Pipeline DarkSide сказала, что клиент, который воспользовался ее услугами, совершил атаку на трубопровод, остановил работу последнего.

Чтобы выделяться в толпе, DarkSide обещает лучшую скорость шифрования, что позволит заблокировать компьютеры быстрее всех. Эта группа также поддерживает атаки на основе операционных систем Microsoft Windows и Linux. С момента ее появления в августе 2020-го группа слила данные более 80 организаций.

Мы можем так никогда и не узнать о тех, кто именно платил вымогателям, говорит трекер преступных киберсредств Бретт Коллоу. «Они совершили атаки на как минимум 114 организаций и обнародовали данные 83, которые не заплатили (выкуп). Это означает, что, по крайней мере, 31 жертва заплатила», – рассказывает Коллоу. Учитывая, что, по данным стартапа кибербезопасности CyberReason пользователи DarkSide требуют суммы в диапазоне от $200 000 до $2 млн, то вполне возможно, что в целом они собрали $30 млн только за полгода. Сумма может быть и больше, ведь в KrebsOnSecurity сообщили, что с одной компанией-жертвой преступники вели переговоры о выкупе в $11 млн. (Члены команды DarkSide не предоставили комментарий по этому поводу.)

Плохая система киберзащиты также может пригодиться хакерам. Прежде чем использовать преступные средства от DarkSide, клиентам нелегального стартапа надо попасть во внутреннюю сеть жертвы, а DarkSide таких услуг не предоставляет. Крузе говорит, что партнеры DarkSide ищут уязвимые устройства, сканируя сеть. Как только слабые места системы найдены, через них можно проникнуть во внутреннюю сеть цели. Затем злоумышленникам нужно взять под контроль другие сетевые компьютеры и установить ПО от DarkSide, которое собирает все данные жертвы и закрывает их на виртуальный ключ, за который нужно заплатить выкуп.

В Colonial Pipeline еще не раскрыли подробностей о том, как хакнули их систему, однако анализ серверов компании экспертами по кибербезопасности показал несколько уязвимостей в защите, которыми злоумышленники могли воспользоваться. К примеру, большое количество камер наблюдения присоединено к IT-инфраструктуре компании, заявил Дерек Эбдайн из компании по кибербезопасности Censys. А Боб Мэйли, бывший руководитель кибербезопасностью в PayPal и действующий главный директор по кибербезопасности в стартапе Black Kite, который занимается защитой от кибератак, говорит, что он видел открытое дистанционное управление и серверы для обмена файлами, с помощью которых хакеры могли добраться до внутренней сети компании, если бы они узнали логины.

«Если бы я совершал кибератаки, я бы воспользовался общедоступными средствами, чтобы подключиться к открытому порту, использовал бы немного скрипта и попытался бы использовать все учетные данные, которые у меня есть, а также некоторые распространенные данные – имена пользователей и пароли по умолчанию», – добавил Мэйли. Такая атака на основе учетных данных может открыть достаточный доступ к внутренней сети, чтобы начать искать способ установить враждебное ПО.

Уже давно существует обеспокоенность тем, что бизнес критически важной инфраструктуры недостаточно подготовлен к атакам, которые описал Мэйли, хотя они и далеки от наиболее хитроумных кибератак современности. «Традиционные индустриальные системы контроля и другие подобные инфраструктуры были созданы преимущественно для хранения информации внутри и для стабильного и надежного контроля. К сожалению, в таких системах почти нет встроенных средств безопасности, которые бы не давали посторонним получить к ним доступ», – объясняет Крис Пехота, бывший технологический директор ФБР.

Персонал – это еще одна проблема. Крузе и Мэйли обратили внимание на то, что у Colonial не было никого, кто бы стоял во главе кибербезопасности. Colonial говорит, что их главный информационный директор, который пришел в 2017 году, пытался настроить кибербезопасность. Он провел обзор защитных систем и увеличил общие затраты на информационные технологии, в том числе и кибербезопасность, на 50% за последние четыре года.

Пресс-секретарь Colonial сообщил Forbes, что в компании были «надежные протоколы и ПО, которые активно и быстро определяли атаки и предотвращали их», а команда сторонних аналитиков инцидента определила, что компания использовала «лучшие средства и методы» для предотвращения атак. Еще рано говорить о главной причине успеха злоумышленников, так как любые распространенные сейчас гипотезы не подкреплены фактами, добавляет представитель компании. Они отказались комментировать, заплатили ли выкуп, а также не называют сумму выкупа.

Собственно кибератака – это лишь первая часть современной индустрии выкупов за данные. DarkSide и подобные группы поняли, что им нужно контролировать всю историю, использовать медиа и оказывать на жертву как можно большее давление, чтобы та заплатила выкуп.

Кроме потери данных, над жертвами также нависает угроза публичной компрометации. Темные вебсайты, которые принадлежат DarkSide и другим группам, – это не просто площадки для слива данных жертв. Это места, где они могут привлекать внимание медиа, чтобы повысить цену собственного успеха, и, возможно, увеличить сумму выкупа, ведь компании соглашаются его оплатить, чтобы не дискредитировать репутацию.

Первые представители такого вида киберпреступников-вымогателей, которые любят общаться с общественностью, возникли в конце 2019-го с появлением Maze – группы, которая стала известной после кибернападений на школы США. По данным Коллоу из компании по кибербезопасности Emsisoft, сейчас существует около 30 групп, которые делают примерно то же самое.

Еще одна группа под названием Babuk продемонстрировала за последний месяц, сколько вреда может нанести публичная дискредитация, когда она хакнули Департамент столичной полиции (Metropolitan Police Department) в Вашингтоне, округ Колумбия. Когда полиция не заплатила $4 млн выкупа, Babuk начал публиковать личную информацию, касающуюся офицеров.

В новой части обнародованных данных 22 офицеров полиции находились психологические оценки, номера социального страхования, финансовая информация и сведения о семье. Babuk даже опубликовал фрагмент общения между ним и департаментом, в котором государственный орган правопорядка пытался снизить сумму выкупа до $100 000. Babuk отказался от такого предложения. Департамент полиции признал факт кибератаки, но не ответил на запрос прокомментировать ситуацию на время выхода статьи.

В DarkSide использовали другую тактику, пытаясь поднять свою репутацию. Они представляют себя как организацию- «робингудов», которая отдает небольшую часть украденных денег на благотворительность, заблаговременно сообщает о падении акций компании-жертвы продавцам, занимающимся короткими продажами, и обещает не делать нападения на определенные отрасли – больницы, похоронные бюро, школы, университеты, неприбыльные и государственные организации.

DarkSide даже заявляют о том, что осуществляют кибератаки только на те компании, которые, по их сведениям, точно могут заплатить выкуп, говорят, что «не хотят потопить бизнес». Вот что группа написала в начале этой недели в своем «пресс-центре» в темной сети: «Наша цель – это заработать деньги, а не вызвать проблемы в обществе».

Одна жертва, Dalton (производитель ковров в Джорджии, который входит в Dixie Group Inc.), рассказала о нынешней попытке кибератаки на них с целью получения выкупа и о том, что это повлияло на «часть их системы информационных технологий».

В случае с Colonial Pipeline в DarkSide, очевидно, поздно поняли, что один из их партнеров нацелился на индустрию, которая поставляет бензин огромному количеству клиентов, и «робингуды» пообещали «ввести надзор и проверку каждой компании, данные которой наши партнеры хотят зашифровать, чтобы в будущем избежать последствий для населения в целом».

Теперь весь мир направил взгляды на хакерскую группу. В «мгновенном сообщении» индустрии киберзащиты и государственных учреждений ФБР рассказало о том, что их специалисты расследовали деятельность DarkSide еще с октября, то есть, уже через два месяца после появления группы. Его детективы и международные партнеры в последние месяцы достигают все больших успехов в расследованиях против операторов преступного ПО.

Значительный прогресс был в январе, когда в Департаменте юстиции США сообщили о том, что они приняли участие в международной операции по обезвреживанию инфраструктуры преступного ПО и ботнета, известного под названием Emotet. С ПО, которое эксперты называют самым опасным в мире, Emotet предлагал преступникам доступ к личным и корпоративным базам данных компьютеров. Правоохранители арестовали подозреваемых администраторов, которым предъявлены обвинения в Украине, но суда еще не было.

Несмотря на это дело и схему, которую Emotet создала для расследования будущих киберпреступлений, единственная власть, которой, похоже, боится DarkSide, говорит по-русски – их вредоносное ПО не будет работать, если определит, что компания, на которую нападают, является российской. Это привело к обвинениям в том, что Кремль либо поддерживает, либо укрывает злоумышленников, которые атакуют западный бизнес, хотя Путин такие упреки упорно отрицает.

Дмитрий Альперович, соучредитель компании по кибербезопасности CrowdStrike, а теперь и исполнительный глава совета некоммерческой организации Silverado Policy Accelerator, говорит, что нет прямых доказательств о связи DarkSide с российской разведкой, но добавляет, что, «с учетом давней истории государства с сокрытием киберпреступников, отсутствие доказательств еще ни о чем не говорит».

Материалы по теме

Вы нашли ошибку или неточность?

Оставьте отзыв для редакции. Мы учтем ваши замечания как можно скорее.

Предыдущий слайд
Следующий слайд