DarkSide (хакерская группа)

Судя по схеме работы, группа состоит из опытных киберпреступников^[3].

Код программы-вымогателя, используемый DarkSide, напоминает программу-вымогатель, используемую REvil, другой хакерской группой; код REvil не является открытым, что говорит о том, что DarkSide является либо ответвлением, либо партнёром REvil^[4][5]. DarkSide и REvil используют аналогично составленные требования выкупа и один и тот же код. Как правило, большинство жертв не находятся в странах СНГ. Darkside — программа-вымогатель, используемая как услуга (RaaS). Вполне возможно, что за тремя атаками, произошедшими в последнее время, стоят разные партнёрские группы. Участники DarkSide признают, что они просто покупают доступ к корпоративным сетям и понятия не имеют, как был получен к ним доступ^[6].

Существует мнение, что компания имеет связь с Россией или иной страной, поскольку она не атакует сайты, написанные на русском и компании, расположенные в странах СНГ^[7]. Кроме того, по сообщению компании Acronis, вредоносное ПО группы не работает на компьютерах, использующих русскую раскладку клавиатуры.

Группа утверждает, что жертвует часть своих преступных доходов на благотворительность, и разместила квитанции на несколько таких пожертвований на своём веб-сайте^[8].

Бостонская компания Cybereason, специализирующаяся на технологиях кибербезопасности, заявила, что DarkSide — организованная группа хакеров, создавших своеобразную бизнес-модель «программы-вымогателя как услуги», то есть хакеры DarkSide разрабатывают и продают инструменты взлома программ-вымогателей заинтересованным лицам, которые затем проводят атаки. Американский кабельный и спутниковый телеканал новостей бизнеса CNBC назвал DarkSide «злым двойником стартапа из Кремниевой долины». Издание цитирует заявление компании, в котором говорится: «Мы аполитичны, мы не участвуем в геополитике, не нужно связывать нас с определённым правительством и искать наши мотивы. Наша цель — зарабатывать деньги, а не создавать проблемы для общества»^[9].

DarkSide подозревается в проведении кибератаки на Colonial Pipeline — один из крупнейших топливных трубопроводов США^[a][10].. Атака является крупнейшей в истории кибератакой на критически важную инфраструктуру США^[10].

Руководство компании Colonial Pipeline признало выплату хакерам выкупа 4,5 млн долл. По данным исследовательской компании Elliptic, только за период с августа 2020 года по апрель 2021, DarkSide получила с жертв своих атак, по меньшей мере 90 млн долл. в биткоинах^[11].

Услуги DarkSide включают в себя оказание технической поддержки хакерам, ведение переговоров с их жертвами, обработку платежей и разработку специализированных компаний давления с помощью шантажа и других средств^[12].

Согласно данным компании FireEye, занимающейся компьютерной безопасностью, DarkSide взимала с пользовавшихся её услугами хакеров плату по скользящей шкале: от 10 % за выкуп свыше 5 млн долларов до 25 % за выкуп менее 500 тыс. долларов^[12].

DarkSide предлагает так называемые «услуги по вымогательству» в интернете. DarkSide берёт плату со своих соучастников, которые не обладают знаниями программистов для создания программ-вымогателей, но могут влезть в компьютер своей жертвы. По данным газеты New York Times, криминальные операции приносят DarkSide миллионы долларов ежемесячно^[12][b].

DarkSide зарегистрировалось как докладчик на See Con 2122 (https://t.me/anekwanted/665).

Комментарии

Сноски

• Хакеры остановили крупнейший трубопровод США. За атакой могут стоять преступники из постсоветских стран.  (рус.) www.bbc.com. Дата обращения: 12 июля 2021. — обзорная статья ББС (англ.)