ИБ-специалисты заметили, что в конце прошлой недели средства хак-группы DarkSide пришли в движение. Злоумышленники переводят на другие кошельки около 7 млн долларов, причем с каждой транзакцией переводится меньшая сумма, что затрудняет отслеживание денег.

Первым на происходящее обратил внимание генеральный директор и соучредитель компании Profero, который сообщил в Twitter, что 107 биткоинов (около 7 млн долларов) из кошелька группы переместились с другой кошелек. Он подчеркивал, что деньги явно контролируют сами хакеры, так как спецслужбы обычно попросту перемещают арестованные активы в новый кошелек, находящийся под их контролем, и не пытаются разбивать средства на более мелкие части.

Как чуть позже сообщила компания Elliptic, занимающаяся блокчейн-анализом, криптовалюта DarkSide проходит через разные кошельки, и в процессе сумма уже сократилась с 107,8 BTC до 38,1 BTC. Это типичная схема для отмывания денег, которая затрудняет отслеживание средств и помогает преступникам конвертировать криптовалюту в фиат. По данным Elliptic, этот процесс все еще продолжается, а небольшие суммы уже выведены на известные биржи.

Схема вывода средств

Интересно, что средства DarkSide пришли в движение вскоре после того, как СМИ сообщили, что за прекращением деятельности другой известной хак-группы, REvil, стояли правоохранительные органы, атаковавшие инфраструктуру преступников.

Дело в том, что DarkSide тоже привлекла к себе много внимания, особенно минувшим летом, когда взломала одного из крупнейших операторов трубопроводов в США, компанию Colonial Pipeline. Этот инцидент вынудил американские власти ввести режим ЧС в ряде штатов и ста­л той самой соломин­кой, которая спо­собна перело­мить спи­ну вер­блю­да: вни­мание пра­воох­ранитель­ных орга­нов к шифроваль­щикам уси­лилось, а на хакер­ских форумах вообще пос­пешили зап­ретить рек­ламу вымогатель­ско­го ПО.

Через неделю после этой атаки и столь нежелательного для хакеров внимания властей DarkSide объявила о прекращении деятельности. Тогда группировка утверждала, что потеряла контроль над некоторыми серверами и криптовалютными кошельками  (то есть своими деньгами). Тем не менее, в июле хакеры провели «ребрендинг», запустив новую инфраструктуру и малварь под названием BlackMatter.

Похоже, теперь, после случившегося с REvil, хакеры хотят быть уверены, что не потеряют свои средства во второй раз. Более того, за несколько дней до этого американские власти опубликовали предупреждение о деятельности BlackMatter, заявляя, что вымогатель уже атаковал «несколько критически важных объектов инфраструктуры США».

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии