ИБ-специалисты заметили, что в конце прошлой недели средства хак-группы DarkSide пришли в движение. Злоумышленники переводят на другие кошельки около 7 млн долларов, причем с каждой транзакцией переводится меньшая сумма, что затрудняет отслеживание денег.
Первым на происходящее обратил внимание генеральный директор и соучредитель компании Profero, который сообщил в Twitter, что 107 биткоинов (около 7 млн долларов) из кошелька группы переместились с другой кошелек. Он подчеркивал, что деньги явно контролируют сами хакеры, так как спецслужбы обычно попросту перемещают арестованные активы в новый кошелек, находящийся под их контролем, и не пытаются разбивать средства на более мелкие части.
The 107* BTC from Colonial PipeLine ransomware has moved to a new wallet: "bc1q2sewgrnau4e4gvceh8ykzf8lqxawpluu0k0607" > "bc1qvya30xewdeatneqj90ypvzq4kjzgyz8cnvu7rm"
— Omri Segev Moyal (@GelosSnake) October 22, 2021
Transaction hash: "8fe2131dd4b4be77034c3af4928415c2daffed950572d270d5e9dd1aa6b71088"
Feds control wallet?
Как чуть позже сообщила компания Elliptic, занимающаяся блокчейн-анализом, криптовалюта DarkSide проходит через разные кошельки, и в процессе сумма уже сократилась с 107,8 BTC до 38,1 BTC. Это типичная схема для отмывания денег, которая затрудняет отслеживание средств и помогает преступникам конвертировать криптовалюту в фиат. По данным Elliptic, этот процесс все еще продолжается, а небольшие суммы уже выведены на известные биржи.
Интересно, что средства DarkSide пришли в движение вскоре после того, как СМИ сообщили, что за прекращением деятельности другой известной хак-группы, REvil, стояли правоохранительные органы, атаковавшие инфраструктуру преступников.
Дело в том, что DarkSide тоже привлекла к себе много внимания, особенно минувшим летом, когда взломала одного из крупнейших операторов трубопроводов в США, компанию Colonial Pipeline. Этот инцидент вынудил американские власти ввести режим ЧС в ряде штатов и стал той самой соломинкой, которая способна переломить спину верблюда: внимание правоохранительных органов к шифровальщикам усилилось, а на хакерских форумах вообще поспешили запретить рекламу вымогательского ПО.
Через неделю после этой атаки и столь нежелательного для хакеров внимания властей DarkSide объявила о прекращении деятельности. Тогда группировка утверждала, что потеряла контроль над некоторыми серверами и криптовалютными кошельками (то есть своими деньгами). Тем не менее, в июле хакеры провели «ребрендинг», запустив новую инфраструктуру и малварь под названием BlackMatter.
Похоже, теперь, после случившегося с REvil, хакеры хотят быть уверены, что не потеряют свои средства во второй раз. Более того, за несколько дней до этого американские власти опубликовали предупреждение о деятельности BlackMatter, заявляя, что вымогатель уже атаковал «несколько критически важных объектов инфраструктуры США».
