Hakerzy z DarkSide wyłudzili ponad 333 mln zł w bitcoinach
DarkSide to specjaliści od ransomware, którzy zasłynęli spektakularnym atakiem na Colonial Pipeline powodującym panikę w USA. W ciągu kilku miesięcy zbudowali przestępczą sieć, która wyłudziła BTC o wartości ponad 330 mln złotych.
- DarkSide wyłudziło ponad 333 mln złotych w bitcoinach w zaledwie 9 miesięcy.
- Grupa oferowała swoje narzędzia jako usługę, pobierając prowizję od okupów.
- Klienci hakerów mieli do dyspozycji wygodny panel sterowania do śledzenia ataków.
Colonial Pipeline padło ofiarą hakerów 7 maja. Ze względów bezpieczeństwa firma czasowo zawiesiła działalność rurociągów odpowiedzialnych za 45% dostaw paliwa na Wschodnim Wybrzeżu USA. Atak wywołał panikę wśród mieszkańców, którzy masowo ruszyli na stacje benzynowe, doprowadzając do ich paraliżu i wzrostu cen paliwa. Działania DarkSide są określane jako najpoważniejszy atak hakerski na krytyczną infrastrukturę w historii USA.
Hakerzy z DarkSide przeprowadzili atak ransomware, polegający na zaszyfrowaniu danych i żądaniu okupu za przywrócenie do nich dostępu. Analitycy z Elliptic ustalili, że Colonial Pipeline już dzień po ataku zapłaciło okup w wysokości 75 BTC, czyli około 4,4 mln dol. Kwota wydaje się niewielka, biorąc pod uwagę skalę chaosu, jaki wywołał atak.
W ciągu ostatnich 9 miesięcy DarkSide miało zaatakować 99 organizacji, spośród których 47 zapłaciło hakerom ponad 90 mln dol. w kryptowalucie (ok. 333 mln złotych). Średnia wysokość okupu wyniosła 1,9 mln dol. W lutym 2021 roku, który był najaktywniejszym miesiącem dla grupy, hakerom udało się wyłudzić pieniądze od 11 firm na łączną kwotę przekraczającą 20 mln dol.
Wymuszenia jako usługa
DarkSide to nie tylko sprawni hakerzy, ale i rasowi biznesmeni. Grupa oferowała zainteresowanym narzędzia niezbędne do przeprowadzenia ataku, pobierając jednocześnie prowizję od zarobionych w ten sposób pieniędzy. System ten doczekał się swojej nazwy - ransomware-as-a-service (RaaS), czyli ransomware jako usługa. DarkSide nie jest pierwszą grupą, która szuka dodatkowych, „pasywnych” źródeł dochodu, ale zdecydowanie jedną z bardziej spektakularnych w ostatnim czasie.
Zajmująca się cyberbezpieczeństwem firma FireEye zaprezentowała szczegółowy opis działania grupy, tropiąc ataki przeprowadzone z wykorzystaniem narzędzi od DarkSide. Partnerzy hakerów zapewniali dostęp do sieci obranej za cel i uruchamiali złośliwe oprogramowanie wygenerowane w wygodnym panelu sterowania, w którym mogli następnie śledzić postęp procesu, ustalać wysokość okupu, politykę zniżek czy śledzić płatności.
Według FireEye prowizje pobierane były według przejrzystego cennika. Dla okupów do 500 tys. dol. opłata wynosiła 25%, malejąc do zaledwie 10% dla kwot wyższych niż 5 mln dol. System premiował zatem ataki na największe firmy, od których można było żądać bardzo wysokich okupów.
Już po ataku na Colonial Pipeline, 13 maja, DarkSide miał poinformować wszystkich partnerów, że grupa utraciła dostęp do swojej infrastruktury, w tym bloga i systemu płatności. Hakerzy ogłosili zakończenie działalności i obiecali udostępnienie programu odszyfrowującego dla ofiar ataków, które nie zostały jeszcze zakończone. Jak zaznacza FireEye, trudno zweryfikować prawdziwość tej informacji. Istnieje także możliwość, że jest to tzw. exit scam, czyli celowe zakończenie działalności i ucieczka z pieniędzmi, które powinny zostać przekazane partnerom.
Profesjonalizacja usług hakerskich w postaci wygodnego zakupu narzędzi czy panelu zarządzania ofiarami jasno wskazują, że wkraczamy w nową erę cyberprzestępczości, która będzie wymagała coraz mniejszych umiejętności informatycznych. Postęp w tym wypadku nie oznacza dla nas nic dobrego.
- Oficjalna strona Colonial Pipeline
- 22 miliony złotych w kryptowalutach ukradzione przez hakera
- Aplikacja do śledzenia koronawirusa to ransomware
- CD Projekt chwalony przez specjalistów za postawę po ataku hakerów