Атака на Colonial Pipeline

Как мы уже рассказывали ранее, в конце прошлой недели крупнейший в США оператор трубопроводов, которая Colonial Pipeline, которая занимается транспортировкой топлива, пострадала от атаки шифровальщика DarkSide. Из-за инцидента возникли проблемы с поставками бензина, дизельного топлива, авиационного топлива и других продуктов нефтепереработки, а в ряде штатов был введен режим ЧС.

В настоящее время штатная работа трубопровода компании восстановлена, но, по информации СМИ, компания смогла оправиться от атаки так быстро, потому что заплатила злоумышленникам выкуп в размере 5 000 000 долларов.

Также стоит отметить, что по данным Bleeping Computer, недавно крупная химическая компания Brenntag, тоже пострадавшая от атаки DarkSide весной текущего года, заплатила хакерам выкуп в размере 4 400 000 долларов США.

Напомню, что группировка DarkSide активна с августа 2020 года и работает по схеме «вымогатель как услуга» (RaaS), активно рекламируя малварь в даркнете и сотрудничая с другими хак-группами. В итоге DarkSide представляет собой классического «охотника за крупной дичью», то есть преимущественно атакует крупные корпоративные сети, шифрует данные, а затем требует у пострадавших компаний огромные выкупы. Если жертвы отказываются платить, участники Darkside публикуют похищенные у них данные на своем сайте в даркнете.

Последствия

Так как атака на Colonial Pipeline привлекла внимание экспертов и СМИ со всего мира, хакеры тоже поспешили выпустить заявление. Тогда как в прессе данную атаку сначала пытались приписать российским правительственным хакерам, в «пресс-релизе», который был опубликован на сайте DarkSide 10 мая, говорилось, что группировка аполитична и преследует исключительно собственные цели. Также хакеры, похоже, были не рады тому, какой хаос спровоцировала эта атака. Они пообещали впредь внимательнее проверять будущие цели.

Затем президент США Джо Байден сообщил на пресс-конференции, что данных о причастности к этой атаке российского правительства нет, но, по данным американских спецслужб, участники хак-группы действительно могут находиться на территории России.

На этой неделе Джо Байден и вовсе заявил, что власти США намерены помешать работе хак-группы, и для этого уже были проведены переговоры с Москвой.

Сегодня, 14 мая 2021 года операторы DarkSide сообщили, что они утратили контроль над своими веб-серверами и средствами, полученными в результате выплаты выкупов.

«Несколько часов назад мы потеряли доступ к публичной части нашей инфраструктуры, а именно: к блогу, платежному серверу, серверам CDN. Теперь эти серверы недоступны через SSH, а панели хостинга заблокированы», — пишет оператор DarkSide, известный как Darksupp, а также жалуется на то, что провайдер хостинга отказался помогать.

Кроме того, хакеры говорят, что с сервера, где размещались полученные выкупы, была выведена криптовалюта. По словам Darksupp, эти средства группировка должна была разделить между собой и своими «партнерами» (злоумышленниками, которые взламывают сети жертв и разворачивают в них малварь), но теперь деньги переведены на неизвестный кошелек.

Издание The  Record отмечает, что, судя по всему, пока американские власти не предпринимали никаких мер против хак-группы, и операторы DarkSide могли просто воспользоваться заявлениями президента Байдена в качестве прикрытия. То есть группировка сама заблокировала собственную инфраструктуру и скрылась с деньгами, не заплатив «партнерам» (классический exit scam).

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии