ФБР разгромило «русских хакеров», парализовавших американский нефтепровод
Инфраструктура шифровальной группировки DarkSide, вероятно, взломана американскими правоохранителями. Группировки REvil и Avaddon ушли в «закрытый режим» и запретили своим партнерам атаковать целые категории организаций.
Деньги уплыли, инфраструктура тоже
Шифровальная группировка DarkSide потеряла доступ к большей части своей инфраструктуры. Возможно, что это произошло в результате действий правоохранительных органов, сообщает TheRecord.
Эксперт компании Recorded Future Дмитрий Смилянец обнаружил на киберкриминальном форуме Exploit пост, опубликованный неким Darksupp, одним из операторов DarkSide.
В этом посте говорится, что группировка утратила контроль над сайтом, куда сливались похищенные у жертв данные, а также над платежным и CDN-серверами. В публикации также указывается, что серверы доступны через SSH, однако панель управления на стороне хостинга заблокирована «по запросу правоохранительных органов», а средства, находившиеся в криптокошельках DarkSide, переведены куда-то еще.
Это может быть результатом полицейской операции: DarkSide недавно атаковали оператора одного из крупнейших трубопроводов в США ColonialPipeline, что привело к перебоям с поставками топлива в нескольких штатах и объявлению режима чрезвычайной ситуации.
Верховные власти США и ФБР пообещали принять ответные меры. Директор Национального центра контрразведки и безопасности США Билл Ивэнина (Bill Evanina) заявил, что в скором времени разведывательные организации и минюст США продемонстрируют все свои «тактические средства сдерживания» в отношении DarkSide.
Однако есть вероятность, что DarkSide имитируют атаку со стороны правоохранителей, чтобы просто скрыться со всей добычей, включая деньги участников партнерских программ. Никаких официальных сообщений со стороны правоохранителей не было, хотя обычно они следуют сразу по завершении подобных операций. Представители Минюста США заявили, что не комментируют ход активных расследований и не могут подтвердить проведение скоординированной операции.
Много шума не из ничего
Тем не менее, известие о предполагаемой атаке на DarkSide, похоже, понаделало немало шума. Представители двух конкурирующих группировок — REvil и Avaddon — объявили о том, что переходят в «закрытый» режим и больше не будут рекламировать свои шифровальщики по модели RaaS (шифровальщик как услуга), ограничившись сотрудничеством с проверенными партнерами.
Представители REvil также заявили, что больше не будут атаковать «чувствительные» секторы: организации, связанные со здравоохранением, образовательные учреждения и правительственные сети в любых государствах. Это явная отсылка к атаке на ColonialPipeline.
Более того, если кто-то из партнеров группировки все-таки совершит атаку на какую-либо организацию из этих секторов, жертвы получат ключ расшифровки бесплатно и откажутся от сотрудничества с проштрафившимся партнером.
Представители Avaddon также объявили эмбарго на атаки против организаций из сферы здравоохранения, образовательные и государственные учреждения.
«Такая реакция шифровальных кибергруппировок может быть продиктована только одним — страхом, — полагает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — То, что они отказываются от атак на чувствительные секторы, хотя раньше атаковали их с большим азартом, отнюдь не демонстрация какого-либо благородства. Они просто почуяли угрозу чрезвычайных мер против своего бизнеса. Откровенно говоря, эти меры стоило начать применять уже очень давно».
Напомним, 17мая 2021 г. CNews писал, что на российском киберкриминальном форуме XSS были полностью запрещены дискуссии относительно шифровальщиков и любая реклама партнерских RaaS-программ под предлогом избыточной «токсичности» данной темы.