Что известно о DarkSide — хакерской группе, атакующей компании

В начале мая группировка DarkSide атаковала компьютеры оператора крупнейшего в США трубопровода Colonial Pipeline, парализовав подачу топлива на Восточное побережье страны. Хакеры быстро заполучили выкуп – Colonial Pipeline выплатила $5 млн в биткоинах и взамен получила программу дешифровки. Но на этот раз схема DarkSide вышла из-под контроля – киберпреступникам пришлось извиняться за «социальные последствия» взлома, а их имиджу «робингудов» был нанесен ущерб.

15 мая DarkSide объявила о роспуске, как она объяснила, в связи с давлением правительства США. Но эксперты этому не верят. Они считают, что таким образом группировка пытается умерить общественный интерес и внимание СМИ к ней, чтобы через некоторое время появиться снова, возможно, под другим именем.

AIN.UA собрал информацию о том, что на данный момент известно о киберпреступной группировке DarkSide, ее бизнесе и принципах.

Кто такие DarkSide

DarkSide – это хакерская группа, которая появилась в августе 2020 года. Предполагается, что ее организаторы – русскоязычные – они избегают атак на компании, чьи системы работают на языках стран бывшего Советского Союза, сообщает The Verge. Цель киберпреступников – коммерческие компании из англоязычных стран.

Бизнес-сообщество или как работает DarkSide

Хакерская группа DarkSide действует по принципу бизнес-сообщества, отмечает BBC. У нее есть «партнерские программы», в рамках которых она предоставляет своим «клиентам» RaaS, ransomware-as-a-service или «вымогатель-как-услуга» – программы для шифрования и хищения данных.

DarkSide сама разрабатывает ПО, проводит обучение «партнеров» и предоставляет им все необходимое для совершения атаки – саму программу-вымогателя, шаблон письма с требованием выкупа и инструкцию по типу «Как правильно провести кибератаку». После получения денег, «партнеры» делят выручку с DarkSide.

Отличительная черта кибератак группы DarkSide – схема двойного вымогательства. К примеру, в атаке на Colonial Pipeline использовалось ПО, цель которого – заблокировать IT-системы путем шифрования данных с требованием выкупа за восстановление информации. При этом хакеры угрожали слить украденную информацию в сеть. Colonial Pipeline заплатила около $5 млн в биткоинах. Требования о выкупе у DarkSide варьируются от $200 000 до $20 млн.

Colonial Pipeline не была первой пострадавшей компанией. За время своего существования – с августа 2020 года, группа совершила более 100 атак, слила в сеть данные более 80 организаций и получила более 40 выкупов. Сразу после топливопровода, группировка взломала одно из европейских подразделений Toshiba.

Этические принципы и благотворительность

У DarkSide есть принципы, которыми она руководствуется в своей деятельности, и которых должны придерживайся ее «партнеры». В частности, группа утверждает, что ее хакеры не совершает атак на медицинские, образовательные или правительственные организации. Их цели – только крупные компании, которые способны, по данным киберпреступников, заплатить выкуп.

Тем не менее, атака на Colonial Pipeline – важный объект инфраструктуры США, выбивается из этой концепции. Этот взлом, вероятно неожиданно для самих хакеров, наделал много шума. Шли разговоры о том, что группа работает на российское правительство. Но хакеры в своем блоге принесли извинения за «социальные последствия», заверяя, что они не хотели причинить проблем обществу, а также – что они не связаны к каким-либо правительством, а работают исключительно ради денег.

По данным лондонской блокчейн-аналитической компании Elliptic, DarkSide заполучила как минимум $90 млн биткоинами за это время, пишет CNBC.

Мы аполитичны, мы не участвуем в геополитике, нас не нужно связывать с определенным правительством и искать в этом наши мотивы. Наша цель – зарабатывать деньги, а не создавать проблемы для общества, – цитирует заявление DarkSide издание CNBC.

DarkSide подчеркивает, что часть своей прибыли жертвует на благотворительность. В медиа ее уже окрестили «группировкой Робина Гуда». Так, в октябре 2020 года хакеры опубликовали в даркнете скриншоты квитанций с пожертвованиями. Они перевели организациям Children International и The Water Project по $10 000 в биткоинах.

Какой бы плохой вы ни считали нашу работу, нам приятно знать, что мы помогли изменить чью-то жизнь, – цитирует хакеров CNBC.

Блог в даркнете и скидки на выкуп для пострадавших

Вскоре после атаки на Colonial Pipeline серверы DarkSide были отключены. Киберпреступники опубликовали послание к «партнерам», в котором написали, что потеряли доступ к публичной части своей инфраструктуры, в том числе к блогу, платежному серверу и CDN-серверам. DarkSide также отметили, что с платежного сервера были изъяты все средства и переведены на неизвестный адрес.

До блокировки блог DarkSide находился в даркнете и был доступен через браузер Tor. Он содержал страницу с информацией о компаниях, которые подверглись атаке хакеров и не заплатили выкуп. У группировки был свой пресс-центр, где журналисты могли регистрироваться и подписываться на новости.

Хакеры также создали систему онлайн-регистрации для компаний, которые стали жертвами DarkSide – после прохождения авторизации, компании могли узнать, как заплатить выкуп и даже получить скидку.