Хакеры из DarkSide озолотились на вымогательствах

Хакерская группа DarkSide, стоявшая за атакой на трубопровод американской компании Colonial Pipeline получила около $90 млн в виде биткоин-выкупов от 47 организаций-объектов вымогательства. Об этом сообщила лондонская блокчейн-аналитическая компания  Elliptic, передает CNBC. 

Elliptic заявила в пятницу, 15 мая, что идентифицировала биткоин-кошелек, используемый DarkSide для сбора выкупов от своих жертв. В тот же день исследователи в сфере информбезопасности Intel 471 объявили, что DarkSide закрылась после потери доступа к своим серверам и опустошения своих криптовалютных кошельков. DarkSide, согласно записке, полученной Intel 471, назвала причиной сворачивания своей деятельности «давление со стороны США». Во вторник, 18 мая, Elliptic сообщила в своем корпоративном блоге, что DarkSide и его партнеры собрали не менее $90 млн выкупа в биткоинах за последние девять месяцев от 47 жертв. Средняя выплата от организаций, ставших жертвами вымогательства, составила $1,9 млн, по оценке аналитиков.

Соучредитель и главный научный сотрудник Elliptic Том Робинсон рассказал, что проведенный анализ включает в себя только уже сделанные группировкой платежи. Он добавил, что «дальнейшие транзакции еще могут быть раскрыты, и цифры здесь следует рассматривать как нижнюю границу». Аналитик подсчитали, что биткоин-кошелек DarkSide содержал цифровую валюту на сумму $5,3 млн до его опустошения. Некоторые эксперты предположили, что эти биткоины был захвачены правительством США, отмечает CNBC. Из общей суммы в $90 млн выкупа $15,5 млн, по данным Elliptic, достались разработчику DarkSide, а $74,7 млн — связанным с группировкой лицам. Большая часть средств направляется на криптобиржи, где они могут быть конвертированы в обычные деньги, добавили в блокчейн-аналитической компании. 

Ранее исследовательская компания Chainalysis сообщала, за семь месяцев работы вымогательство принесло хакерам DarkSide не меньше $60 млн, из них $46 млн — в первом квартале 2021 года. Chainalysis указывала, что не обладает всей информацией и общий улов группировки, вероятно, был больше. DarkSide меньше чем за год из малоизвестной группировки превратилась в одну из крупнейших и наиболее влиятельных, сообщила в пятницу The Wall Street Journal со ссылкой на аналитиков в области кибербезопасности. Они описывают работу группировки так: привлеченные DarkSide хакеры взламывали сети компаний или государственных учреждений и шифровали содержимое компьютеров, делая их непригодными для использования, а за расшифровку требовали выкуп. Из полученных от пострадавших средств DarkSide забирала свою долю, а остальное делила между хакерами. 

Последней жертвой группировки стала компания Colonial Pipeline — оператор крупнейшего трубопровода США, по которому доставляют около 45% топлива, потребляемого на восточном побережье страны. Атака хакеров прервала поставки топлива почти на неделю, спровоцировав дефицит бензина на заправках и резкий рост стоимости топлива. Источники Bloomberg сообщили, что Colonial Pipeline заплатила хакерам почти $5 млн за восстановление доступа к системе. Президент США Джо Байден ранее заявил, что обсудит атаку на Colonial Pipeline с Владимиром Путиным. По его словам, у американской разведки нет данных о причастности российских властей к этой атаке, однако есть доказательства того, что оборудование хакеров находится в России. Кремль причастность России к хакерским атакам на Colonial Pipeline отверг. 

В четверг, 14 мая Toshiba Tec France Imaging System, французское подразделение японского конгломерата Toshiba, заявило, что 4 мая подверглось хакерской атаке со стороны группировки DarkSide. Об этом сообщил Reuters. Подразделение Toshiba заявило, что во время кибератаки был потерян минимальный объем ее рабочих данных и утечек зафиксировано не было. Reuters отмечает, что атака была совершена с помощью программы-вымогателя. Служба здравоохранения Ирландии также пострадала от атаки вымогателей, сообщает CNBC.

В среду, 13 мая, президент Джо Байден подписал указ, направленный на укрепление системы кибербезопасности США, после кибератаки на девять правительственных структур в конце 2020 года. Хакеры скомпрометировали программное обеспечение компании SolarWinds и проникли в сети правительственных учреждений и бизнеса. Федеральное бюро расследований, АНБ, Национальная разведка (ODNI) и Службы кибербезопаcности (CISA) в январе заявили, что хакерская атака могла направляться из России. 15 апреля США ввели санкции против России, обвинив страну в том числе в кибератаках. Глава Службы внешней разведки России Сергей Нарышкин в интервью Би-би-си 18 мая заявил, что ему «было бы лестно услышать» обвинения, что его служба смогла организовать хакерскую атаку, затронувшую девять федеральных агентств в США. Однако причастность России или своего ведомства к взлому он отверг.