Nowości

Atakujący rurociąg Darkside nagle ciemnieje – oto, co wiemy

Atakujący rurociąg Darkside nagle ciemnieje - oto, co wiemy

Darkside – grupa oprogramowania ransomware, która w tym tygodniu zakłóciła dystrybucję benzyny w szerokim obszarze Stanów Zjednoczonych – zgasła, pozostawiając niejasnym, czy grupa zaprzestaje, zawiesza lub zmienia swoje działania, czy po prostu organizuje oszustwo związane z wyjściem.

W czwartek wszystkie osiem ciemnych stron internetowych Darkside komunikowało się z opinią publiczną zszedłi pozostają na niskim poziomie w momencie publikacji. W ciągu nocy post przypisany Darkside twierdził, bez dostarczenia jakichkolwiek dowodów, że strona internetowa grupy i infrastruktura dystrybucji treści zostały przejęte przez organy ścigania, wraz z kryptowalutą, którą otrzymały od ofiar.

Pies zjadł nasze fundusze

„W tej chwili do tych serwerów nie można uzyskać dostępu przez SSH, a panele hostingowe zostały zablokowane” – czytamy w artykule, zgodnie z tłumaczeniem postu na język rosyjski opublikowanego w piątek przez firmę zajmującą się bezpieczeństwem Intel471. „Usługa wsparcia w zakresie hostingu nie zapewnia żadnych informacji, z wyjątkiem informacji„ na żądanie organów ścigania ”. Ponadto kilka godzin po zajęciu środków z serwera płatności (należącego do nas i naszych klientów) zostały pobrane na nieznane konto. ”

Jeśli to prawda, konfiskaty byłyby wielkim zamachem stanu dla organów ścigania. Według niedawno opublikowanych danych firmy Chainalysis zajmującej się śledzeniem kryptowalut, Darkside zarobił co najmniej 60 milionów dolarów w pierwszych siedmiu miesiącach, z czego 46 milionów dolarów w pierwszych trzech miesiącach tego roku.

Zidentyfikowanie usługi ukrytej Tora również byłoby ogromnym wynikiem, ponieważ prawdopodobnie oznaczałoby to, że albo grupa popełniła poważny błąd konfiguracji podczas konfigurowania usługi, albo organy ścigania wiedzą o poważnej luce w sposobie działania ciemnej sieci. (Analitycy Intel471 twierdzą, że część infrastruktury Darkside jest dostępna publicznie – to znaczy zwykły Internet – więc złośliwe oprogramowanie może się z nią łączyć).

Ale jak dotąd nie ma dowodów na publiczne potwierdzenie tych niezwykłych twierdzeń. Zazwyczaj, gdy organy ścigania z USA i krajów Europy Zachodniej zajmują witrynę internetową, umieszczają na stronie głównej witryny zawiadomienie, w którym ujawnia się zajęcie. Poniżej znajduje się przykład tego, co ludzie zobaczyli po próbie odwiedzenia witryny grupy Netwalker po jej usunięciu:

Jak dotąd żadna z witryn Darkside nie wyświetla takiego powiadomienia. Zamiast tego większość z nich przerywa pracę lub wyświetla puste ekrany.

Jeszcze bardziej wątpliwe jest twierdzenie, że grupa przejęła znaczne zasoby kryptowalut. Ludzie, którzy mają doświadczenie w używaniu cyfrowej waluty, wiedzą, że nie należy jej przechowywać w „gorących portfelach”, czyli cyfrowych skarbcach podłączonych do Internetu. Ponieważ gorące portfele zawierają klucze prywatne potrzebne do przesyłania środków na nowe konta, są podatne na włamania i typy ataków zgłoszone w poście.

Aby organy ścigania mogły skonfiskować cyfrową walutę, operatorzy Darkside prawdopodobnie musieliby przechowywać ją w gorącym portfelu, a kantor wymiany walut używany przez Darkside musiałby współpracować z organami ścigania lub zostać zhakowany.

Możliwe jest również, że ścisłe śledzenie przez organizację taką jak Chainalysis zidentyfikowało portfele, które otrzymały fundusze od Darkside, a organy ścigania skonfiskowały je następnie. Takie analizy wymagają jednak czasu.

Bzdury, szum i hałas.

Post Darkside pojawił się, gdy znane kryminalne forum podziemne o nazwie XSS ogłosiło, że zakazuje wszelkich działań związanych z oprogramowaniem ransomware, głównym tematem z przeszłości. Witryna ta była wcześniej ważnym źródłem informacji dla grup ransomware REvil, Babuk, Darkside, LockBit i Nefilim w celu rekrutacji podmiotów stowarzyszonych, którzy wykorzystują to złośliwe oprogramowanie do infekowania ofiar iw zamian dzielą się częścią generowanych przychodów. Kilka godzin później wszystkie posty Darkside wysłane do XSS zostały zerwane.

W piątkowym porannym poście firma bezpieczeństwa Flashpoint napisała:

Według administratora XSS decyzja jest częściowo oparta na ideologicznych różnicach między forum a operatorami ransomware. Co więcej, zainteresowanie mediów głośnymi incydentami spowodowało „masę krytyczną bzdur, szumu i szumu”. Oświadczenie XSS zawiera kilka powodów, dla których podjęto decyzję, w szczególności to, że kolektywy oprogramowania ransomware i towarzyszące im ataki generują „zbyt dużo PR” i zwiększają ryzyko geopolityczne i związane z egzekwowaniem prawa do „zagrożenia[ous] poziom.”

Administrator XSS stwierdził również, że kiedy „Pieskow [the Press Secretary for the President of Russia, Vladimir Putin] jest zmuszony szukać wymówek przed naszymi zagranicznymi „przyjaciółmi” – to trochę za dużo ”. Jako podstawę tych twierdzeń podali hiperłącze do artykułu na rosyjskiej stronie internetowej Kommersant zatytułowanego „Rosja nie ma nic wspólnego z atakami hakerskimi na rurociąg w Stanach Zjednoczonych”.

W ciągu kilku godzin na dwóch innych podziemnych forach – Exploit i Raid – również zablokowano posty związane z oprogramowaniem ransomware, według obrazy krążące na Twitterze.

Tymczasem REvil powiedział, że zakazuje używania swojego oprogramowania przeciwko organizacjom opieki zdrowotnej, edukacyjnym i rządowym, poinformował The Record.

Ransomware na rozdrożu

Działania XSS i REvil stanowią poważne krótkotrwałe zakłócenie ekosystemu ransomware, ponieważ usuwają kluczowe narzędzie rekrutacyjne i źródło przychodów. Długoterminowe skutki są mniej wyraźne.

„Na dłuższą metę trudno uwierzyć, że ekosystem oprogramowania ransomware całkowicie zniknie, biorąc pod uwagę, że operatorzy są zmotywowani finansowo, a zastosowane schematy okazały się skuteczne” – powiedzieli analitycy Intel471 w e-mailu. Powiedzieli, że jest bardziej prawdopodobne, że grupy ransomware „staną się prywatne”, co oznacza, że ​​nie będą już publicznie rekrutować podmiotów stowarzyszonych na forach publicznych lub zrezygnują z bieżącej działalności i zmieni nazwę na nową nazwę.

Grupy oprogramowania ransomware mogą również zmienić swoją obecną praktykę szyfrowania danych, aby ofiara nie nadawała się do użytku, a jednocześnie pobierała dane i groziła ich upublicznieniem. Ta metoda podwójnego wymuszenia ma na celu zwiększenie presji na ofiary, aby zapłacić. Grupa Babuk ransomware rozpoczęła ostatnio wycofywanie się ze szkodliwego oprogramowania, które szyfruje dane, jednocześnie prowadząc swój blog, który wymienia i zawstydza ofiary oraz publikuje ich dane.

„Takie podejście pozwala operatorom oprogramowania ransomware czerpać korzyści z szantażu bez konieczności radzenia sobie z publicznymi skutkami zakłócenia ciągłości biznesowej szpitala lub infrastruktury krytycznej” – napisali analitycy Intel471 w e-mailu.

Na razie jedynym dowodem na to, że infrastruktura Darkside i kryptowaluta została przejęta, są słowa dopuszczonych przestępców, które nie wystarczają, by rozważyć potwierdzenie.

„Mogę się mylić, ale podejrzewam, że to po prostu oszustwo związane z wyjściem” – powiedział Arsowi Brett Callow, analityk zagrożeń w firmie ochroniarskiej Emsisoft. „Darkside może odpłynąć w stronę zachodu słońca – lub, co bardziej prawdopodobne, zmienić markę – bez konieczności dzielenia się nieuczciwie zdobytymi zyskami ze swoimi wspólnikami w zbrodni”.



Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook