Кибервымогатели DarkSide заявили о прекращении своей деятельности
Кибервымогатели DarkSide заявили о прекращении своей деятельности
Alexander Antipov
Группировка предупредила своих партнеров о намерении свернуть все операции.
По данным сразу двух ИБ-компаний, FireEye и Intel 471, киберпреступная группировка DarkSide, стоящая за нашумевшей атакой на американского топливного гиганта Colonial Pipeline, заявила своим партнерам о прекращении деятельности.
Web-сайт DarkSide недоступен с четверга, 13 мая. Как 14 мая сообщал SecurityLab, группировка лишилась доступа к своей инфраструктуре – ее серверы были отключены, а с хакерских форумов удалены все связанные с ней темы. В то время сообщалось, что DarkSide ввела новые ограничения на дальнейшие преступные действия. В частности, были запрещены атаки на социальный сектор (здравоохранение, образовательные учреждения) и государственные организации любой страны. Тем не менее, похоже, теперь группировка решила покинуть кибервымогательский бизнес.
Не исключено также, что заявление о прекращении деятельности было сделано только для отвода глаз. Нередко после заявлений об уходе из бизнеса киберпреступные группировки возвращаются вновь под другими названиями.
В свою очередь, компания Colonial Pipeline заявила о полном восстановлении своих операций после кибератаки. Несмотря на это, несколько юго-восточных штатов все еще страдают от нехватки бензина.
Подробнее ознакомиться с деятельностью DarkSide можно здесь .
Мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру в нашем Youtube канале.
Поделиться новостью:
ФБР перехватило виртуальный кошелек хакеров DarkSide
https://ria.ru/20210607/khakery-1736071049.html
ФБР перехватило виртуальный кошелек хакеров DarkSide
ФБР перехватило виртуальный кошелек хакеров DarkSide — РИА Новости, 07.06.2021
ФБР перехватило виртуальный кошелек хакеров DarkSide
ФБР перехватила виртуальный кошелек для выкупа, который использовала хакерская группировка DarkSide, заявил первый замдиректора Федерального бюро расследований… РИА Новости, 07.06.2021
2021-06-07T23:02
2021-06-07T23:02
2021-06-07T23:14
в мире
технологии
сша
джо байден
фбр
/html/head/meta[@name=’og:title’]/@content
/html/head/meta[@name=’og:description’]/@content
https://cdn25.img.ria.ru/images/rsport/113117/95/1131179595_0:0:3076:1730_1920x0_80_0_0_bb4c2d8666999b2084249d071bc3279b.jpg
ВАШИНГТОН, 7 июн — РИА Новости. ФБР перехватила виртуальный кошелек для выкупа, который использовала хакерская группировка DarkSide, заявил первый замдиректора Федерального бюро расследований Пол Эббейт. «Мы обнаружили виртуальный кошелек с криптовалютой, который лица из DarkSide использовали для получения средств от жертвы. Используя полномочия правоохранительных органов, мы конфисковали принадлежащие жертве средства и не позволили лицам из DarkSide использовать их», — сказал Эббейт на пресс-конференции.Ранее США сообщили, что конфисковали большую часть выкупа в 4 миллиона долларов, которую компания Colonial заплатила хакерам.Ранее в США были зарегистрированы крупные кибератаки на оператора трубопроводов Colonial и производителя мяса JBS, которые привели к перебоям с поставками. Белый дом заявил, что хакеры могли быть из России, хотя российские власти в причастности к взломам не обвинял. Президент Джо Байден заявил, что хотел бы обсудить с российским коллегой Владимиром Путиным общие правила по борьбе с киберпреступностью.
https://ria.ru/20210606/kiberbezopasnost-1735915227.html
https://ria.ru/20210518/khakery-1732874519.html
сша
РИА Новости
7 495 645-6601
ФГУП МИА «Россия сегодня»
https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/
2021
РИА Новости
7 495 645-6601
ФГУП МИА «Россия сегодня»
https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/
Новости
ru-RU
https://ria.ru/docs/about/copyright.html
https://xn--c1acbl2abdlkab1og.xn--p1ai/
РИА Новости
7 495 645-6601
ФГУП МИА «Россия сегодня»
https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/
https://cdn24.img.ria.ru/images/rsport/113117/95/1131179595_173:0:2904:2048_1920x0_80_0_0_1f78028e99dcf6af3648c87983d45f19.jpgРИА Новости
7 495 645-6601
ФГУП МИА «Россия сегодня»
https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/
РИА Новости
7 495 645-6601
ФГУП МИА «Россия сегодня»
https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/
в мире, технологии, сша, джо байден, фбр
Хакерская группа DarkSide закрылась после обвинений в атаке на трубопровод в США,
Злоумышленники могут возобновить свою работу под новым названием. По словам экспертов, хакеры часто так делают, чтобы замести следы.
Хакерская группа DarkSide решила закрыться после обвинений в атаке на трубопровод Colonial Pipeline в США. Об этом пишет Wall Street Journal, ссылаясь на компании по кибербезопасности FireEye и Intel 471.
ФОКУС в Google Новостях.
Подпишись — и всегда будь в курсе событий.
По данным источников, хакеры сообщили о потере доступа к инфраструктуре, необходимой для работы. В частности, с четверга, 13 мая, не работает сайт DarkSide. Организация также пожаловалась на давление со стороны американских властей и рассказала коллегам, что останавливает свою деятельность.
Аналитики отмечают, что хакерские группы, распространяющие вредоносное ПО, часто распадаются, чтобы потом воссоединиться под другим названием. Пока непонятно, какую роль американские правоохранители сыграли в закрытии DarkSide.
Ранее хакеры атаковали компанию Colonial Pipeline, из-за чего перестал работать трубопровод, снабжающий топливом 18 американских штатов. Сбой привел к дефициту топлива и закрытию многих заправочных станций в США, а спекулянты, успевшие скупить бензин, начали продавать его по завышенной цене. Ситуация оказалась настолько серьезной, что власти нескольких восточных штатов ввели режим чрезвычайной ситуации.
Власти США обвинили в атаке на Colonial Pipeline группу хакеров DarkSide, об этом заявило ФБР. Президент Джо Байден подчеркнул, что нет никаких свидетельств причастности России к взлому компании, однако злоумышленники могут находиться на российской территории. Сама же DarkSide при этом отрицает свою причастность к атаке, разместив заявление на своей странице в даркнете. Хакеры утверждают, что занимаются только разработкой и продажей программного обеспечения, а преступление в отношении Colonial Pipeline мог совершить кто-то из их покупателей.
Недавно DarkSide сообщила, что взломала три компании из разных стран мира. Согласно заявлению, хакеры похитили 1900 ГБ конфиденциальных данных из Шотландии, Бразилии и США, в том числе финансовые документы, пароли и файлы с информацией о сотрудниках.
Появилась информация, что Colonial Pipeline заплатила хакерам около 5 миллионов долларов для возобновления работы. Руководство компании переслала выкуп и получила ключ еще в день атаки.
Табак DarkSide Shot 30 г
Табак DarkSide Shot 30 г — купить оптом в МосквеВключите в вашем браузере JavaScript!
Способы оплаты для Физ. Лиц:
Внимание! Товар из данной категории нельзя оплатить онлайн, так как это табачная продукция. Заказы содержащие табачные изделия можно получить и оплатить только в нашем магазине по адресу: г. Москва, ул. Проспект мира, д. 73.
Способы оплаты для ИП и ООО:
Оплата только безналичным способом, методом перевода средств с Р/С вашей организации на основании выставленного счета от ИП Толстой С.Н.
Способы оплаты для Физ. Лиц:
Внимание! Товар из данной категории нельзя оплатить онлайн, так как это табачная продукция. Заказы содержащие табачные изделия можно получить и оплатить только в нашем магазине по адресу: г. Москва, ул. Проспект мира, д. 73.
Способы оплаты для ИП и ООО:
Оплата только безналичным способом, методом перевода средств с Р/С вашей организации на основании выставленного счета от ИП Толстой С.Н.
Вам есть 18 лет?Данный сайт является каталогом для совершеннолетних потребителей табачной продукции (граждан России старше 18 лет).
Сайт предоставляет информацию об основных потребительских свойствах и характеристиках табачной продукции и аксессуарах для курения (п.1 и п.2 ст.10 Закона «О защите прав Потребителя»). Дистанционная продажа табака и табачных изделий не осуществляется. Содержащаяся на сайте информация не является рекламой табака, табачной продукции и курительных принадлежностей. Лицам, не достигшим совершеннолетия, пользование Сайтом ЗАПРЕЩЕНО (ст. 20 ФЗ №15 «Об охране здоровья граждан..» и в соответствии с частью 7 статьи 15.1 Федерального закона от 27.07.2006 No 149-ФЗ «Об информации, информационных технологиях и защите информации»). Помните, курение вредит вашему здоровью!
Для дальнейшего просмотра сайта кальянного магазина, Вам необходимо подтвердить свое совершеннолетие.
Табак для кальяна Дарксайд (DarkSide)
Табак для кальяна DarkSide представляет собой кальянный табак премиум класса, производимый по самым современным технологиям. Отличительная особенность заключается в том, что табак DarkSide обладает высокой жаростойкостью, яркой вкусопередачей. Так же кальянная смесь Dark side выпускается в удобной упаковке как для домашнего курильщика, так и для профессионала.
Достоинства табаков для кальяна DarkSide
- Фасовка: 30гр, 100гр, 250гр
- Три линейки крепости (Base, Core, Rare).
- Большой ассортимент вкусов.
- Стильная упаковка и удобная упаковка
- Высокая длительность курения кальяна 60мин
- Жаростойкость табачного бленда DarkSide.
- Восстановление вкусовых качеств после перегрева
Особенности DarkSide
По крепости табак для кальяна DarkSide делится на три типа: Base, Core, Rare. Первый тип табака для кальяна DarkSide «Base» обладает крепость чуть ниже среднего, идеально подходящим для людей, которые погружаются в мир кальяна. «Core» представляет собой бленд табака DarkSide средней крепости, более подходящий для искушенных поклонников кальяна. Последний тип представляет собой смеси DarkSide выше средней крепости, в ассортименте которого всего лишь несколько вкусов и который обладает сильным эффектом «никотинонасыщения».
Подобная градация позволяет подобрать подходящую крепость и вкус табака для кальяна DarkSide как опытному поклоннику, так и новичку, а также дает возможность полет фантазии в миксологии.
Наиболее популярные вкусы DarkSide
- Lemonblast DarkSide;
- Mango Lassi DarkSide;
- Breaking Red DarkSide;
- Needls DarkSide;
- Raspberry DarkSide;
- Falling Star DarkSide;
- Tropic Ray DarkSide;
- Wild Forest DarkSide;
- Sweet Comet DarkSide;
- Grape Core DarkSide;
- Red Alert DarkSide;
- Cyber Kiwi DarkSide;
- Space Dessert DarkSide.
Lemonblast DarkSide
Вкус «Лимона» — самый удачный и популярный лимон на рынке табака для кальяна, отлично подходит для миксологии.
Mango Lassi DarkSide
Дарксайд Mango Lassi – тропический коктейль из манго с пряной нотой.
Breaking Red DarkSide
Breaking Red — приятный сладкий вкус гранатового сока.
Falling Star DarkSide
Falling Star — вкус кислой маракий и сладкого манго, одно из самых популярных сочетаний в России.
Tropic Ray DarkSide
Вкус классического коктейля «Пина Колада» и создан для всех поклонников сочетаний кокоса, ананаса и рома. Тропическая сладость и алкогольные нотки придутся по вкусу истинным любителям по-настоящему сладких кальянов.
Wild Forest DarkSide
Кисло-сладкий вкус лесных ягод. В миксе чувствуется вкус земляники, голубики, клюквы и ежевики.
Sweet Comet DarkSide
Sweet Comet – насыщенный вкус клюквенно-бананового десерта. Кисловатые оттенки клюквы отлично дополняются сладостью нежного экзотического фрукта. Сочетание получается свежим и не приторным.
Needls Дарксайд
Представляем самый известный вкус от компании Дарксайд – «Ёлки». Яркий, свежий, хвойный – так можно описать этот вкус. Отлично сочетается с ягодами и фруктами.
Red Alert DarkSide
Red Alert арбузно-дынный лимонад, хорошо освежает и в меру сладкий. Сочетание арбуза и дыни в миксологии является базовым.
Supernova DarkSide
Флагманский продукт от компании Дарк сайд. Компания Dark side стала новатором и создала вкус «холодка» — данный вкус развязал руки как мастерам так и домашним курильщикам, этот прорывной вкус на основе табачного бленда дал возможность для разработки самых невероятных миксов.
Где купить хороший кальянный табак
Интернет-магазин «Сибирит» предлагает приобрести Mango Lassi, Red Alert, Desert Eagle, Дарк Супра, Grape Кор, Донский чилл, Елка и другие смеси для кальяна от компании Дарксайд. Опытные консультанты готовы дать подробное описание каждой товарной позиции в каталоге сайта, помочь подобрать табак с минимальным или максимальным содержанием никотина.
Товар имеет упаковку по 30 гр. или 100 грамм. У нас представлены все линейки DarkSide, в том числе и Shot (Шот), Кор. Shot является новинкой. Несмотря на это, на нашем сайте можно найти даже редкие вкусы. Мы обеспечиваем быструю доставку в уральский регион и другие области РФ. Обращайтесь, у нас отличная цена, хороший выбор, любезные консультанты и только качественные табачные смеси для кальяна от известных табачных брендов!
Министерство юстиции конфисковало 2,3 миллиона долларов в криптовалюте, выплаченных вымогателям-вымогателям Darkside | OPA
ВАШИНГТОН — Министерство юстиции сегодня объявило об аресте 63,7 биткойнов, которые в настоящее время оцениваются примерно в 2,3 миллиона долларов. Эти средства предположительно представляют собой доходы от выплаты выкупа 8 мая лицам из группы, известной как DarkSide, которая нацелена на Colonial Pipeline, в результате чего критически важная инфраструктура была выведена из строя. Ордер на арест был санкционирован ранее сегодня достопочтенной Лорел Билер, U.С. Магистратский судья Северного округа Калифорнии.
«Следование за деньгами остается одним из самых простых, но мощных инструментов, которые у нас есть», — сказала заместитель генерального прокурора Лиза О. Монако в Министерстве юстиции США. «Выплаты выкупа — это топливо, которое приводит в движение двигатель цифрового вымогательства, и сегодняшнее объявление демонстрирует, что Соединенные Штаты будут использовать все доступные инструменты, чтобы сделать эти атаки более дорогостоящими и менее прибыльными для преступных предприятий. Мы продолжим нацеливаться на всю экосистему программ-вымогателей, чтобы препятствовать и сдерживать эти атаки.Сегодняшние объявления также демонстрируют ценность раннего уведомления правоохранительных органов; мы благодарим Colonial Pipeline за то, что они быстро уведомили ФБР, когда узнали, что стали целью DarkSide ».
«Нет места вне досягаемости ФБР для сокрытия незаконных средств, которые не позволят нам подвергнуть нас риску и последствиям для злоумышленников в киберпространстве», — сказал заместитель директора ФБР Пол Аббате. «Мы продолжим использовать все наши доступные ресурсы и наши внутренние и международные партнерские отношения, чтобы предотвратить атаки программ-вымогателей и защитить наших партнеров из частного сектора и американскую общественность.”
«Киберпреступники используют все более изощренные схемы для преобразования технологий в инструменты цифрового вымогательства», — заявила исполняющая обязанности прокурора США в Северном округе Калифорнии Стефани Хиндс. «Нам необходимо продолжать повышать киберустойчивость нашей критически важной инфраструктуры по всей стране, в том числе в Северном округе Калифорнии. Мы также продолжим разработку передовых методов, чтобы улучшить нашу способность отслеживать и возвращать электронные выкупные платежи ».
Примерно 7 мая Colonial Pipeline стала жертвой получившей широкую огласку атаки с использованием программ-вымогателей, в результате которой компания вывела из строя части своей инфраструктуры.Colonial Pipeline сообщила ФБР, что к его компьютерной сети обратилась организация под названием DarkSide и что она получила и выплатила выкуп примерно в 75 биткойнов.
Как утверждается в подтверждающих показаниях под присягой, изучив публичную книгу биткойнов, правоохранительные органы смогли отследить несколько переводов биткойнов и установить, что примерно 63,7 биткойнов, представляющих доходы от выкупа жертвы, были переведены на определенный адрес для у ФБР есть «закрытый ключ» или примерный эквивалент пароля, необходимого для доступа к активам, доступным с определенного адреса Биткойн.Этот биткойн представляет собой доходы, которые можно проследить до компьютерного вторжения, и имущество, вовлеченное в отмывание денег, и может быть арестовано в соответствии с уголовным и гражданским законодательством о конфискации.
Специальная секция судебного преследования и Группа по конфискации активов Прокуратуры США по Северному округу Калифорнии занимается арестом при значительной помощи со стороны Отдела по борьбе с отмыванием денег и возвращения активов Департамента юстиции и Секции компьютерных преступлений и интеллектуальной собственности, а также Отдел контрразведки и экспортного контроля Управления национальной безопасности.Компоненты Департамента, которые работали над этим захватом, координировали свои усилия через Целевую группу Департамента по программам-вымогателям и цифровому вымогательству, которая была создана для борьбы с растущим числом атак с использованием программ-вымогателей и цифрового вымогательства.
Целевая группа уделяет приоритетное внимание пресечению, расследованию и судебному преследованию программ-вымогателей и цифрового вымогательства путем отслеживания и прекращения разработки и развертывания вредоносного ПО, выявления киберпреступников и привлечения этих лиц к ответственности за свои преступления.Целевая группа также стратегически нацелена на криминальную экосистему программ-вымогателей в целом и сотрудничает с национальными и зарубежными правительственными учреждениями, а также с партнерами из частного сектора для борьбы с этой серьезной преступной угрозой.
| Заходи в кино: мы скучаем по тебе! Маски теперь требуются по всему зданию (независимо от статуса вакцинации). Забронируйте >> частный просмотр сегодня! Darkside продолжает оставаться CinemaSafe. >> Подпишитесь на нашу еженедельную рассылку, чтобы получать последние новости и предложения. | ||||
ПОКАЗЫВАЕТ ПТ, СБ, СОЛНЦЕ В ТЕМНОМ КИНО | ||||
| STILLWATER — рейтинг R (2 часа 20 минут) 10–12 сентября (пятница, суббота, воскресенье) Криминал / Драма Мэтт Дэймон отправляется в Марсель, Франция, чтобы навестить свою отчужденную дочь, находящуюся в тюрьме за убийство, которое, по ее утверждениям, не совершало.Столкнувшись с языковыми барьерами, культурными различиями и сложной правовой системой, он вскоре строит для себя новую жизнь, став своей личной миссией реабилитировать ее. Режиссер Том Маккарти. Покупайте билеты в кинотеатре Darkside Cinema за 30 минут до спектакля. ПТ 9/10 — 8:00 Вернуться к началу ↑ | ||||
| RESPECT — рейтинг PG-13 (2 часа 25 минут) сен.С 10 по 12 сентября (пятница, суббота, воскресенье) Драма / мюзикл Покупайте билеты в кинотеатре Darkside Cinema за 30 минут до спектакля. ПТ 9/10 — 5:00 Вернуться к началу ↑ | ||||
| THE LOST LEONARDO — Нет оценок (1ч 41м) Сентябрь.С 10 по 12 сентября (пятница, суббота, воскресенье) Документальные / драматические фильмы Покупайте билеты в кинотеатре Darkside Cinema за 30 минут до спектакля. ПТ 9/10 — 5:30 / 7:45 Вернуться к началу ↑ | ||||
| SWAN SONG — Нет рейтинга (1 час 45 минут) 10–12 сентября (пятница, суббота, воскресенье) Драма / комедия Покупайте билеты в кинотеатре Darkside Cinema за 30 минут до спектакля. ПТ 9/10 — 5:45 Вернуться к началу ↑ | ||||
| СВИНЬЯ — рейтинг R (1 час 32 мин) с 10 по 12 сентября (пятница, суббота, воскресенье) Драма Охотник за трюфелями (Николас Кейдж), который живет один в дикой местности Орегона, должен вернуться в свое прошлое в Портленде в поисках своей любимой свиньи-кормушки после ее похищения.В главных ролях Николас Кейдж, Алекс Вольф, Адам Аркин. Автор и постановщик Майкл Сарноски. Покупайте билеты в кинотеатре Darkside Cinema за 30 минут до спектакля. ПТ 9/10 — 8:30 Наверх ↑ | ||||
БОЛЬШЕ | ||||
| Поддержите Центр дикой природы Chintimini, участвуя в виртуальном аукционе WILD NIGHT, который начнется 17 сентября 2021 года.Посетите сайт аукциона дикой природы Chintimini, чтобы сделать ставку! | ||||
| Какие! Подкаст с участием Кейтлин и Джоуи из Darkside Cinema? Как это круто? Каждый второй четверг они занимаются новой темой, связанной со старыми и новыми фильмами. Слушайте онлайн бесплатно или скачивайте выпуски и подписывайтесь. Найдите подкаст «Сквозь окно кабины» здесь и на всех ведущих подкаст-платформах: Apple, Spotify, Pandora и других. | ||||
Посетите >> Reel Film Snobs онлайн, чтобы посмотреть обзоры фильмов местного производства, созданные командой опытных киноманов. | ||||
Darkside Cinema безопасен для кинотеатров! | ||||
| Приглашаем вас: • Посмотреть фильм в Darkside в эти выходные. Будем очень рады вас видеть! (Отображаемые сейчас функции находятся вверху этой страницы ↑) • Забронируйте частный просмотр для вас и вашей семьи.Darkside — это CinemaSafe! • Сделайте пожертвование, чтобы поддержать Darkside • Подпишитесь на нашу еженедельную рассылку, чтобы раз в неделю получать наши списки фильмов на свой почтовый ящик (мы не рассылаем спам) • Поддержите свой любимый местный бизнес! (Кроме нас.) Мы любим вас, благодарим вас и обещаем оставаться верными нашему девизу: Наверх ↑ | ||||
О DARKSIDE CINEMA | ||||
| Кинотеатр Darkside Cinema, открытый 1 апреля 2005 года, является единственным независимым кинотеатром в Корваллисе.Мы показываем первые показы, инди, международные и документальные фильмы, которые вы не найдете в местном мегаплексе. Мы меньше сосем. Ежедневно. Спросите нас о недорогой экранной рекламе для вашего местного бизнеса или некоммерческой организации. И спросите нас об аренде театра для частных просмотров, вечеринок по случаю дня рождения, встреч или сеансов, розыгрышей или …? Мы с гордостью поддерживаем эти организации и надеемся, что вы тоже: | ||||
| Центр гордости Университета штата Орегон | ||||
| Corvallis Arts Walk | ||||
| Центр города Корваллис Ассоциация | ||||
| KBOO FM-радио | ||||
| CARDV | ||||
| Das Filmfest | ||||
Вид защитника внутри атаки вымогателя DarkSide — Sophos News
Недавнее вторжение программы-вымогателя в компанию крупного оператора бензиновых трубопроводов США было делом рук дочерней компании DarkSide, группы вымогателей как услуги, ответственной за как минимум 60 известных случаев двойного вымогательства в этом году.DarkSide недавно поразил несколько громких жертв, в том числе компании, котирующиеся на фондовой бирже NASDAQ. Но нарушение работы сети Colonial Pipeline привело к тому, что компания также закрыла свою сеть операционных технологий (OT), фактически перекрыв большую часть поставок бензина в восточные США.
ОтключениеColonial Pipeline — не первая критическая проблема инфраструктуры, вызванная атакой программы-вымогателя. В феврале прошлого года предприятие по добыче природного газа в США было закрыто на два дня из-за вторжения программы-вымогателя, которая распространилась на его сеть OT.И DarkSide тоже не избежала таких компаний, нанеся удар по бразильской энергетической компании в начале этого года. Но колониальный инцидент потенциально имеет большее влияние на реальный мир — и, очевидно, сделал операторов DarkSide более известными, чем они привыкли.
Команда быстрого реагирования Sophos была вызвана для реагирования на инциденты или для вмешательства во время атаки с участием DarkSide как минимум в пяти различных случаях за последний год.
Переход на DarkSide
DarkSide появился прошлым летом, получив признание своего предполагаемого подхода «честь среди воров»: банда утверждала, что у нее есть кодекс поведения, запрещающий нацеливаться на отрасли и некоммерческие организации, связанные с общественными интересами.
Кольцо изо всех сил пытается сохранить свою «благородную» репутацию, используя свой сайт утечки информации в качестве платформы для противодействия плохим новостям. Когда компания Coveware, занимающаяся восстановлением программ-вымогателей, предупредила, что использование DarkSide иранского хостинга представляет потенциальную опасность нарушения санкций, если компании будут платить им, операторы DarkSide опубликовали «пресс-релиз», в котором отрицают, что они использовали какие-либо иранские ИТ-услуги. Атака Colonial Pipeline снова заставила банду DarkSide отступить, заявив в сообщении на своей веб-странице, что они «аполитичны» и что их цель — «зарабатывать деньги, а не создавать проблемы для общества.”
Злоумышленники заявляют, что их действия «аполитичны».Ранее банда обещала пощадить медицинские организации, а также других лиц, участвующих в распространении вакцин, из-за негативного внимания, которое такие атаки могут потенциально привлечь в стране происхождения банды. Из-за того, как работает DarkSide, неясно, насколько держатели бренда DarkSide контролируют аффилированные лица, которые выполняют фактическую работу по взлому сетей и запуску своих программ-вымогателей.
Партнерское объявление DarkSide: «Кого мы ищем? Ограниченное количество стабильных и адекватных партнеров, которые понимают, зачем нужно выгружать данные, что такое резервные копии и как их удалять, русскоязычные, с выплатами от 500к ».DarkSide следует по стопам операторов программ-вымогателей, занимающихся двойным вымогательством, таких как REvil, Maze и LockBit: они извлекают бизнес-данные перед их шифрованием и угрожают публичным раскрытием, если жертвы не заплатят за ключ дешифрования. Как и в случае с другими целевыми операциями, DarkSide требует огромного выкупа.В одном случае, над которым Sophos Rapid Response работала в прошлом году, кольцо потребовало 4 миллиона долларов (которые остались неоплаченными).
Помимо бизнес-модели, DarkSide в целом следует той же тактике, методам и процедурам, что и многие другие целевые кампании по вымогательству — сочетание встроенных функций Windows, массового вредоносного ПО (включая SystemBC), а также готовых систем и инструментов для эксплойтов (включая Кобальтовый удар). Отчасти это связано с партнерской моделью DarkSide.
Создатели DarkSide передают на аутсорсинг первоначальную компрометацию целей и развертывание криптографической программы-вымогателя DarkSide специалистам по проникновению в сеть, которые передают «обслуживание клиентов» жертвы выкупа основным операторам DarkSide.Эти аффилированные лица, вероятно, имеют предыдущий опыт, играя ту же роль в других синдикатах программ-вымогателей.
Судя по опыту Sophos в области криминалистики данных и реагирования на инциденты с атаками DarkSide, первоначальный доступ к сети цели был в основном результатом фишинговых учетных данных. Это не единственный способ, которым злоумышленники могут закрепиться, но, похоже, он преобладает в случаях, связанных с этим типом программ-вымогателей, возможно, из-за предпочтений аффилированных лиц.
В отличие от некоторых других программ-вымогателей, DarkSide может шифровать компьютеры Linux, а также компьютеры под управлением Windows, что делает его более предпочтительным инструментом для злоумышленников, которые хотят атаковать крупные предприятия.
В то время как некоторые недавние целевые операции с программами-вымогателями со стороны других банд быстро начали свою деятельность, начав атаку в течение нескольких дней, участники кампаний DarkSide могут проводить недели или месяцы, копаясь в сети организации, прежде чем активировать свою полезную нагрузку вымогателя.
Время ожидания
| Метрическая система | Время ожидания (дни) |
| Минимум | 44 |
| Медиана | 45 |
| Максимум | 88 |
За это время злоумышленники захватили как можно больше данных.В записках с требованием выкупа Darkside говорится о краже больших объемов данных, часто из нескольких отделов организации, таких как бухгалтерия и НИОКР. Используя PSExec, подключения к удаленному рабочему столу и (в случае серверов Linux) SSH для горизонтального перемещения внутри сети, субъекты DarkSide загружали архивы украденных файлов поставщикам облачных хранилищ Mega или pCloud в случаях, которые мы исследовали.
Активность файловой системы
Программа-вымогатель DarkSide выполняет определенные действия для шифрования документа, сначала добавляя уникальное расширение файла к имени каждого целевого типа документа, прежде чем зашифровать файл.
Вредоносная программа проверяет, имеет ли учетная запись пользователя Windows 10, под которой она запущена, права администратора; В противном случае вредоносная программа пытается повысить свои привилегии с помощью метода CMSTPLUA.
DarkSide извлекает MAC-адрес сетевого адаптера целевого компьютера, а затем пять раз вычисляет CRC32 по первым шести байтам MAC-адреса адаптера, где начальное значение 0xDEADBEEF. Поскольку первые шесть байтов MAC-адреса зарегистрированы для производителей, многие из затронутых корпоративных машин в конечном итоге будут иметь такое же расширение файла, добавленное к документам просто в результате того, что машины являются частью оптовой закупки.
Злоумышленники (вероятно, те же аффилированные лица, участвовавшие в первоначальном доступе) также предпринимают усилия для прекращения работы программного обеспечения, которое, если бы оно было запущено, могло бы помешать процессу шифрования. Мы наблюдали, как они прекращали предоставление услуг, связанных с корпоративным программным обеспечением резервного копирования от Commvault и Veeam, завершали работу программного обеспечения почтового сервера MailEnable и прекращали работу служб баз данных SQL-сервера, чтобы они могли зашифровать любую найденную базу данных. Они также пытаются удалить или изменить службы Sophos, если они присутствуют на машине.Как и другие программы-вымогатели, DarkSide также удаляет теневые копии томов, которые могут помочь восстановить некоторые зашифрованные данные, если их не трогать.
Шифрование каждого типа файла документа на жестком диске требует времени, и если процесс будет прерван на полпути, некоторые из незашифрованных файлов можно будет легко восстановить. Переименование файла с новым расширением перед его шифрованием дает злоумышленнику возможность создать впечатление, что все было зашифровано, поскольку изменение расширения файла сокращает связи между типом файла документа и связанным с ним приложением.
Процесс шифрования для DarkSide всегда выполнялся следующим образом:
| Шаг | Операция | Назначение |
| 1 | CreateFile (обычное чтение / запись) | Открыть исходный документ для чтения и записи. |
| 2 | Файл чтения | Прочтите последние 144 байта исходного документа (ищите большой двоичный объект дешифрования). |
| 3 | Закрыть файл | Закройте исходный документ (без изменений). |
| 4 | CreateFile (чтение атрибутов) | Открыть исходный документ. |
| 5 | SetRenameInformationFile | Переименуйте документ, добавив расширение определенного типа файла, например .c0d2f38a |
| 6 | Закрыть файл | Закройте переименованный документ. |
| 7 | CreateFile (обычное чтение / запись) | Открыть переименованный исходный документ. |
| 8 | Файл чтения | Прочитать переименованный исходный документ. |
| 9 | WriteFile | Записать зашифрованный документ в переименованный исходный документ. |
| 10 | WriteFile | Добавить большой двоичный объект дешифрования, 144 байта, в конец файла. |
| 11 | Закрыть файл | Закройте переименованный, теперь зашифрованный документ. |
Решение проблемы с уродливым значком
У злоумышленников есть несколько преимуществ, когда программа-вымогатель добавляет к зашифрованным файлам новое или необычное расширение файла.Конечно, он отделяет зашифрованные документы от их обычно связанных приложений, что означает, что пользователь не может взаимодействовать с ними обычным способом (двойным щелчком). Необычные суффиксы файлов представляют собой сигнал для программы-вымогателя о том, что файл уже был зашифрован (поэтому механизм вымогателя не выполняет повторное шифрование или двойное шифрование одних и тех же файлов), и несут побочное преимущество: он предотвращает другие программы-вымогатели (при по крайней мере, семейства, которые нацелены на документы, которые они будут атаковать, используя жестко закодированные списки файловых суффиксов — многие из них) от шифрования тех же файлов.
Одним из недостатков переключения суффикса файла является то, что, когда он теряет связь со своим приложением, в документе больше не используется значок, связанный с этой ассоциацией. Так, например, в зашифрованном документе Word просто пустой значок, а не красивая картинка документа с W на нем.
DarkSide, похоже, очень обеспокоен этой проблемой плохого внешнего вида зашифрованных жестких дисков, поэтому они нашли решение.
Зашифрованные документы обычно получают новое расширение файла и, следовательно, больше не связаны с приложением для повышения производительности документа.DarkSide помещает файл изображения — значок — в каталог % APPDATA% \ Local , названный в честь того же восьмисимвольного расширения, которое имеет вымогатель. используется для переименования каждого целевого файла.В этом примере это расширение .c0d2f38a . Затем он записывает ключ реестра Windows в HKEY_CLASSES_ROOT , который связывает файлы с уникальным и своеобразным расширением файла, которое он сгенерировал, с этим файлом значка, так что зашифрованные файлы внезапно имеют собственный уникальный значок.
Регистрация расширения типа файла программы-вымогателя …… и привязка его к файлу значка .ico файлаDarkSide настолько тщательна, что он содержит значки нескольких размеров, поэтому ваш компьютер будет отображать значок подходящего размера в соответствии с вашими предпочтениями.Он имеет размеры 64 × 64, 32 × 32, 24 × 24 и 16 × 16 пикселей и выглядит как черный замок.
Получается, что папка, полная документов, выглядит примерно так:
Картинки еще не атакованы программой-вымогателем DarkSide.… чтобы выглядеть как папка, полная «заблокированных» файлов, например:
Картинки зашифрованы DarkSide со значком замка.После завершения шифрования
После того, как программа-вымогатель завершила шифрование файла, она бросает эту записку о выкупе в каждую папку, содержащую только что зашифрованные файлы:
Записка о выкупе отредактирована.Ссылка переносит жертву на страницу оплаты, размещенную в темной сети: требование выкупа дает цели удобное преобразование требования выкупа в биткойны и Monero (Dogecoin в настоящее время не принимается к оплате), блокировка обратного отсчета, когда двойное требование выкупа и ссылку на страницу с примерами «Ваши данные украдены».
Атака Linux, шифрование файлов VMDK
Злоумышленник-вымогатель DarkSide не только атакует машины с Windows, но и развертывает двоичные файлы ELF (исполняемый файл и формат ссылок) для атаки данных на машинах с Linux.Версия вымогателя DarkSide для Linux специально нацелена на файлы VMDK, которые представляют собой виртуальные жесткие диски, которые будут использоваться в виртуальных машинах, таких как VMware и VirtualBox.
Консольный вывод версии для Linux показывает, что эта программа-вымогатель специально ищет расширения файлов, связанных с виртуальными жесткими дисками в Linux, в том числе в операционных системах гипервизора, таких как ESX от VMWare, где виртуальные жесткие диски для виртуальных машин хранятся в каталоге / vmfs / volume. / путь к файлу:
Отвернувшись от DarkSide
Sophos защищает от DarkSide множеством способов.Существуют поведенческие и динамические защиты, которые включают в себя функцию CryptoGuard в Intercept X, а также обычные средства обнаружения конечных точек для Windows ( Troj / Ransom-GAZ, Troj / PShl-E, VBS / Agent-BGYV ) и Linux ( Linux / Ransm-J ) и обнаружение вредоносных исполняемых файлов следующего поколения для функций в памяти ( Mem / DarkSide-A, HPmal / DarkS-A ) и поведения ( AMSI / Inject-H, AMSI / PSRans-A, ML / PE-A ) в Windows.
Благодарности
SophosLabs благодарит Юсуфа Арслана Полата, Габора Саппаноса, Сурию Натараджан, Сабольча Леваи и Ференца Ласло Надя за их вклад в этот пост.
The Colonial Pipeline Hackers — один из самых смелых криминальных стартапов в игре с вымогателями стоимостью 370 миллионов долларов
ФБР идентифицировало группу, стоящую за взломом Colonial Pipeline, как DarkSide, одну из наиболее необычных действующих групп вымогателей, ответственную за взломы более чем 100 компаний.
FRANCOIS PICARD / AFP через Getty ImagesКогда Colonial Pipeline отключила свои бензоколонки после успешной кибератаки на прошлой неделе, она стала самой громкой жертвой хакерской группы DarkSide.
Но DarkSide — это не единое целое. Это опытный в СМИ полупрофессиональный стартап и поставщик программного обеспечения для нелегального рынка хакеров, ищущих простой и быстрый способ взломать и вымогать у крупного бизнеса. В игре-вымогателе, которая, согласно данным трекера криптовалюты Chainalysis, принесла преступникам 370 миллионов долларов в 2020 году в виде выкупа, DarkSide и ее партнеры представляют собой опасное новое поколение подпольных предприятий, которые работают вместе, чтобы угрожать законным организациям. в государственном и частном секторах.
В индустрии безопасности бизнес-модель DarkSide называется «программа-вымогатель как услуга», поскольку она имитирует модель «программное обеспечение как услуга». Во-первых, предоставить финансово мотивированным киберпреступникам лучшее программное обеспечение для кражи данных и шифрования файлов жертв через Интернет через легкодоступный темный веб-сайт. Во-вторых, предоставьте услуги, связанные с этим программным обеспечением, например инструменты, которые позволяют цифровым вымогателям напрямую общаться со своими жертвами или получать ИТ-поддержку. В-третьих, поделитесь наградой, если цель платит выкуп.DarkSide берет на себя большую часть сокращения. Согласно FireEye, охранной компании, подразделение Mandiant которой помогает восстановить Colonial Pipeline, DarkSide берет 25% выкупа менее 500 000 долларов и 10% сборов более 5 миллионов долларов. Хотя это значительная часть доходов, операторы DarkSide делают атаки программ-вымогателей настолько простыми, что клиенты продолжают приходить. «Это отличный способ быстро заработать», — говорит Питер Круз, основатель и генеральный директор CSIS Security Group, который говорит, что видел, как различные киберпреступники использовали службу вымогателей DarkSide.В случае с Colonial Pipeline, DarkSide сообщает, что клиент, использующий его программное обеспечение, организовал атаку, которая остановила конвейер.
Чтобы выделиться из толпы, DarkSide пообещал лучшую скорость шифрования, позволяющую блокировать компьютеры быстрее, чем кто-либо другой. Он также поддерживает атаки на операционные системы Microsoft Windows и Linux. Его маркетинг работает. С момента появления в августе 2020 года произошла утечка данных по более чем 80 организациям. Личности тех, кто заплатил, возможно, никогда не будут известны, отмечает трекер-вымогатель Бретт Кэллоу.«Они поразили как минимум 114 организаций, и они опубликовали данные 83, так что они не заплатили (выкуп). Это означает, что по крайней мере 31 человек сделал это », — говорит Кэллоу. Учитывая, что требования выкупа пользователей DarkSide варьируются от 200 000 до 2 миллионов долларов, по данным стартапа CyberReason, занимающегося безопасностью, вполне возможно, что они в совокупности заработали более 30 миллионов долларов всего за полгода. И, учитывая, что KrebsOnSecurity сообщило, что группа договорилась о выкупе в размере 11 миллионов долларов с одной компанией-жертвой, это, вероятно, выше этой оценки.(Сообщение для команды DarkSide не было получено.)
Слабая безопасность может помочь хакерам. Прежде чем вредоносное ПО DarkSide может быть развернуто, его клиентам необходимо проникнуть в сеть, а DarkSide не предоставляет эту услугу. Круз говорит, что партнеры DarkSide ищут уязвимые устройства, которые можно найти, сканируя Интернет. Как только эти системы будут найдены, их можно будет использовать и использовать в сети цели. Затем им необходимо взять под контроль другие подключенные компьютеры и установить программное обеспечение DarkSide, которое упаковывает данные жертв и блокирует их с помощью ключей, за использование которых цели должны платить выкуп.
Colonial Pipeline еще не раскрыла, как именно он был взломан, хотя анализ серверов компании, проведенный экспертами по безопасности, показал, что хакеры могли использовать несколько способов, чтобы пробить бреши в его защите. Например, по словам Дерека Абдина из охранной компании Censys, к ИТ-инфраструктуре компании было подключено большое количество камер наблюдения. А Боб Мейли, бывший руководитель службы безопасности PayPal, а ныне директор по безопасности стартапа Black Kite по киберзащите, говорит, что видел открытые серверы удаленного управления и обмена файлами, которые, если бы хакеры каким-то образом получили логины, могли бы обеспечить путь в сеть Colonial. .
«Если бы я собирался взломать это … Я бы просто использовал общедоступный инструмент для подключения к этому порту, запустил небольшой скрипт и попробовал все учетные данные, которые у меня есть, плюс некоторые из общих … имен пользователей по умолчанию и пароли », — добавил Мали. Эта атака с «заполнением учетных данных» может обеспечить достаточный доступ к сети, чтобы начать поиск способа внедрения программы-вымогателя.
Уже давно существует озабоченность по поводу того, что предприятия критически важной инфраструктуры недостаточно хорошо подготовлены к атакам, описанным Мали, даже если они далеки от самых изощренных атак, с которыми сталкивается Интернет каждый день.«Унаследованные системы управления производством и другие подобные инфраструктуры были в первую очередь разработаны для надежного и последовательного хранения информации и выполнения своих задач управления. К сожалению, было мало или вообще не было встроенных средств для обеспечения адекватной защиты систем и предотвращения доступа людей », — говорит Крис Пьехота, бывший директор по технологиям ФБР.
Персонал — другая проблема. Круз и Мэйли отметили, что в Colonial, похоже, не было никого, кто бы отвечал за кибербезопасность. Colonial заявила, что ее директор по информационным технологиям, нанятый в 2017 году, возглавил усилия по обеспечению кибербезопасности, проведя обзор своей защиты и увеличив общие расходы на ИТ, включая кибербезопасность, более чем на 50% за последние четыре года.Представитель Forbes сообщил, что у него есть «надежные протоколы и программное обеспечение для обнаружения и реагирования на угрозы проактивно и в ответ», и что его сторонняя группа реагирования на инциденты определила, что до взлома следовала «передовой практике». Они добавили, что любые предположения о первопричине инцидента были бы преждевременными и не подкреплялись фактами. Они отказались комментировать, был ли выплачен выкуп, и не сказали, сколько потребовали хакеры.
Сам по себе взлом — лишь первая часть современного мошенничества с программами-вымогателями.DarkSide и подобные группы осознали, что им нужно контролировать историю, играть с прессой и оказывать максимальное давление на жертв, чтобы получить выкуп.
Дополнительная угроза к потере данных — публичное позор. Темные веб-сайты DarkSide и других групп — не просто пространство для разоблачения данных жертв. Это места, где они могут привлечь внимание средств массовой информации, чтобы добиться успеха и, возможно, увеличить размер выкупа, поскольку компании платят, чтобы избежать ущерба репутации. Первый представитель этого нового поколения вымогателей-вымогателей появился в конце 2019 года с появлением Maze, который стал печально известен своими атаками на U.С. школы. По словам Кэллоу из охранной компании Emsisoft, сейчас около 30 человек делают то же самое.
Другая группа, Бабук, показала в прошлом месяце, насколько разрушительным может быть публичный позор после взлома столичного управления полиции Вашингтона, округ Колумбия. Когда полиция не выплатила выкуп в размере 4 миллионов долларов, Бабук начал раскрывать личные данные офицеров. В новом пакете данных о 22 полицейских, опубликованном на этой неделе, просочившаяся информация включала психологические оценки, номера социального страхования, финансовые данные и истории браков.Бабук даже публиковал разговоры между собой и отделом, в которых последний, по-видимому, пытался обмануть команду предложением выкупа в размере 100 000 долларов. Бабук отклонил предложение. Управление полиции ранее признало факт нападения, но не ответило на запросы о комментариях на момент публикации.
DarkSide использовала другую тактику, чтобы попытаться улучшить свой публичный имидж, представив себя как своего рода хакерскую организацию Robinhood, отдав небольшую часть украденных средств на благотворительность, предлагая продавцам предварительную информацию, чтобы они могли делать ставки на падение акций жертвы. и обещают не атаковать определенные отрасли: больницы, похоронные службы, школы, университеты, некоммерческие и правительственные организации.Он даже утверждает, что разрешает атаки только на компании, которые, как он знает, может позволить себе заплатить, говоря: «Мы не хотим убивать ваш бизнес». Как написала группа в своем «пресс-центре» в даркнете ранее на этой неделе: «Наша цель — зарабатывать деньги, а не создавать [sic] проблемы для общества». Одна из жертв, Dalton, производитель ковров Dixie Group Inc. из Джорджии, ранее в этом году сообщила о попытке вымогателя, затронувшей «части ее систем информационных технологий».
С Colonial Pipeline DarkSide, по-видимому, слишком поздно осознала, что один из ее партнеров нацелился на отрасль, которая обслуживает огромное количество потребителей бензином, и впоследствии пообещал «ввести модерацию и проверить каждую компанию, которую наши партнеры хотят зашифровать, чтобы избежать социальных последствий. в будущем.«Теперь мир пристально следит за хакерской группой. В «экстренном уведомлении» для индустрии кибербезопасности и правительственных агентств на этой неделе ФБР заявило, что расследует DarkSide с октября, всего через два месяца после его появления. Его следователи и глобальные партнеры добились все больших успехов в борьбе с операторами вредоносного ПО в последние месяцы, самый значительный из которых состоялся в январе, когда Министерство юстиции США заявило, что участвовало в многонациональной операции по разрушению и уничтожению инфраструктуры вредоносного ПО и ботнета, известного как Emotet. .Названный экспертами самым опасным вредоносным ПО в мире, Emotet предлагал злоумышленникам доступ к личным и корпоративным компьютерам. Как и в случае с DarkSide, многие преступники платили операторам Emotet за установку программ-вымогателей. Власти арестовали предполагаемых администраторов, которым в Украине предъявлены обвинения, хотя они еще не предстали перед судом.
Несмотря на этот случай и план, который он заложил для будущих кибер-расследований, единственные органы, которых DarkSide, похоже, опасается, являются русскоязычными: его вредоносное ПО не будет работать, если оно обнаружит, что его жертва — русская.Это привело к обвинениям в том, что Кремль либо поддерживает, либо укрывает преступников, нацеленных на западный бизнес, что правительство Путина категорически отрицает. Дмитрий Альперович, соучредитель компании CrowdStrike, занимающейся кибербезопасностью, а ныне исполнительный председатель некоммерческой организации Silverado Policy Accelerator, говорит, что нет никаких доказательств того, что DarkSide имеет очевидные связи с российской разведкой, добавляя: «Учитывая их долгую прошлую историю преднамеренного укрывательства киберпреступности, я не думаю, что это имеет значение.»
Группа программ-вымогателей, проводившая серьезные атаки, снова появляется после кратковременного отсутствия
Шон Лингаас, CNN
(CNN) — Русскоязычная киберпреступная группа, ответственная за серию атак программ-вымогателей на крупные американские компании, на этой неделе вернула часть своей инфраструктуры в режим онлайн в знак того, что она может вернуться в бизнес. по мнению экспертов по кибербезопасности.
Платежные порталы и веб-сайт, позорный для жертв, используемые так называемой группой REvil, не работали с тех пор, как хакеры взяли на себя ответственность за июльскую атаку вымогателя на ИТ-провайдера Kaseya, которая затронула примерно 1500 предприятий по всему миру.
«В настоящее время мы не наблюдаем новых жертв, но в конечном итоге группа вернулась, чтобы зарабатывать деньги, поскольку программы-вымогатели очень прибыльны», — сказал Адам Мейерс, старший вице-президент по разведке компании CrowdStrike.
Развитие событий произошло через три месяца после встречи президента Джо Байдена и президента России Владимира Путина, на которой Байден сказал, что он призвал Путина расправиться с киберпреступниками, действующими с российской территории.
Национальный кибердиректор США Крис Инглис заявил в четверг, что публичные сообщения указывают на то, что некоторые русскоязычные группы программ-вымогателей были менее активны после встречи Байдена и Путина, но что «слишком рано говорить о том, что мы вышли из леса по этому поводу. . »
«Я думаю, что справедливо поспорить, что [группы программ-вымогателей] сами деконструировали, что они, по сути, замерзли и успокоились, чтобы посмотреть, утихнет ли шторм и смогут ли они затем вернуться», — сказал Инглис, главный советник Байдена по кибербезопасности.
REvil — одна из многочисленных банд вымогателей, подозреваемых в деятельности за пределами России и Восточной Европы, которые вымогали миллионы долларов у крупных компаний за последние месяцы. ФБР обвинило REvil в майской атаке программ-вымогателей на JBS USA, на долю которого приходится примерно пятая часть производства говядины в США. JBS заявила, что заплатила хакерам 11 миллионов долларов за разблокировку их систем.
Этот инцидент последовал за остановкой на несколько дней крупного топливного транспортера Colonial Pipeline в начале мая после атаки программы-вымогателя, совершенной другой русскоязычной преступной группировкой, известной как DarkSide.Colonial Pipeline, которая транспортирует около 45% всего топлива, потребляемого на Восточном побережье, выплатила своим вымогателям 4,4 миллиона долларов.
Возрождение REvil «демонстрирует устойчивость организованных киберпреступных групп … чтобы вернуться к обычному бизнесу за относительно короткий период времени», — сказал CNN Майкл ДеБолт, главный разведчик фирмы Intel 471, занимающейся кибербезопасностью.
В последние годы программы-вымогатели нанесли все больший урон экономике США.
По данным Chainalysis, фирмы, отслеживающей криптовалюту, в 2020 году жертвы атак программ-вымогателей заплатили выкуп на сумму около 350 миллионов долларов.Те, кто не платит, могут потратить миллионы долларов на восстановление своей компьютерной инфраструктуры.
Встревоженный тем, что программы-вымогатели и другие киберугрозы могут помешать критически важной инфраструктуре США, Байден встретился с руководителями ключевых технологических и энергетических компаний в Белом доме в августе. В ответ Google и Microsoft пообещали выделить 30 миллиардов долларов на инициативы в области кибербезопасности.
Пока Белый дом пытается заставить Москву обуздать группы программ-вымогателей, официальные лица США призвали компании усилить меры безопасности, чтобы сделать взломы менее эффективными.
В августе ФБР и Агентство по кибербезопасности и безопасности инфраструктуры США напомнили компаниям, что агентства «настоятельно не рекомендуют платить выкуп преступникам», потому что это может позволить хакерам инвестировать в новые возможности.
The-CNN-Wire
™ и © 2021 Cable News Network, Inc., компания WarnerMedia. Все права защищены.
жертв программы-вымогателя DarkSide
За последнюю неделю мы наблюдали значительный объем работы, сосредоточенной на DarkSide, программе-вымогателе, ответственной за недавнее отключение газопровода.Многие из превосходных технических описаний будут подробно описывать, как он управляет партнерской моделью, которая поддерживает участие других в бизнес-модели программ-вымогателей (в дополнение к разработчикам). Хотя это, возможно, не новое явление, эта модель активно применяется многими группами и приносит большой эффект. В этом суть проблемы: хотя внимание может быть направлено на программу-вымогатель DarkSide, суровая реальность такова, что равное внимание следует уделять Ryuk, или REVIL, или Babuk, или Cuba и т. Д. Эти и другие группы и их филиалы, использовать общие векторы входа, и во многих случаях инструменты, которые, как мы видим, используются для перемещения в среде, одинаковы.Хотя в этом техническом документе DarkSide рассматривается более подробно, мы должны подчеркнуть важность применения передовых методов защиты / мониторинга вашей сети. Эти дополнительные публикации могут помочь вам в этом:
DarkSide Ransomware: что это такое?
Как упоминалось ранее, DarkSide — это программа-вымогатель как услуга (RaaS), которая предлагает высокую прибыль для тестеров на проникновение, которые хотят предоставить доступ к сетям и распространять / запускать программы-вымогатели. DarkSide — это пример RaaS, посредством которого они активно инвестируют в разработку кода, партнеров и новых функций.Наряду с угрозой утечки данных у них есть отдельный вариант для переговоров компаний по восстановлению, они готовы взаимодействовать со СМИ и готовы провести распределенную атаку отказа в обслуживании (DDoS) против жертв. Те жертвы, которые действительно платят выкуп, получают уведомление от DarkSide о компаниях, которые находятся на фондовой бирже, которые были взломаны, в обмен на свою оплату. Существует множество потенциальных юридических проблем, не говоря уже об этических проблемах, но эта информация, безусловно, может дать преимущество при коротких продажах, когда появляются новости.
Группа, стоящая за DarkSide, также особенно активна. Используя MVISION Insights, мы можем определить преобладание целей. Эта карта ясно показывает, что наиболее целевой географией явно являются Соединенные Штаты (на момент написания). Кроме того, в первую очередь ориентированы секторы Legal Services , Wholesale и Manufacturing , за которыми следуют сектора Oil , Gas и Chemical .
Консультации по покрытию и защите
Лидирующее на рынке решение EPP McAfee защищает от программ-вымогателей DarkSide с помощью ряда методов раннего предотвращения и обнаружения.
Клиенты, использующие MVISION Insights, найдут профиль угроз в этом семействе программ-вымогателей, который обновляется по мере появления новой и актуальной информации.
Раннее обнаружение
MVISION EDR включает обнаружение многих действий, используемых в атаке, включая повышение привилегий, вредоносные маячки PowerShell и CobaltStrike, а также видимость команд обнаружения, управления и контроля и других тактик в цепочке атаки. У нас есть телеметрия EDR, указывающая на раннее обнаружение до взрыва полезной нагрузки вымогателя.
Профилактика
ENS TP обеспечивает покрытие по известным индикаторам в последнем наборе сигнатур. Обновления по новым индикаторам проталкиваются через GTI.
ENS ATP предоставляет поведенческий контент, ориентированный на упреждающее обнаружение угрозы, а также предоставляет известные IoC для обнаружения как в режиме онлайн, так и в автономном режиме.
ENS ATP добавляет два (2) дополнительных уровня защиты благодаря правилам JTI, которые обеспечивают сокращение поверхности атаки для общего поведения программ-вымогателей, и RealProtect (статический и динамический) с моделями машинного обучения, нацеленными на угрозы программ-вымогателей.
Последние рекомендации по снижению рисков см. В:
https://kc.mcafee.com/corporate/index?page=content&id=KB93354&locale=en_US
Технический анализ
Платформа RaaS предлагает партнеру возможность создать версию программы-вымогателя для Windows или Unix. В зависимости от того, что необходимо, мы наблюдаем, что аффилированные лица используют разные методы для обхода обнаружения, маскируя сгенерированные двоичные файлы Windows DarkSide. Для этого можно использовать несколько упаковщиков или подписать двоичный файл сертификатом.
Как описывают коллеги из нашей отрасли, мы также наблюдали кампании, в которых аффилированные лица и их команда хакеров использовали несколько способов для получения первоначального доступа к сети своей жертвы.
- Используя действительные учетные записи, используйте уязвимости на серверах или RDP для начальной стадии
- Затем создайте плацдарм в сети жертвы, используя такие инструменты, как Cobalt-Strike (маяки), RealVNC, RDP, перенесенный через TOR, Putty, AnyDesk и TeamViewer. TeamViewer — это то, что мы также видим в конфигурации образца вымогателя:
Конфигурация программы-вымогателя содержит несколько параметров для включения или отключения системных процессов, а также указанную выше часть, в которой указано, какие процессы не следует убивать.
Как упоминалось ранее, многие текущие образцы Windows в дикой природе — это версия DarkSide 1.8, другие — версия 2.1.2.3. В чате один из актеров сообщил, что скоро выйдет версия V3.
23 марта rd , 2021, на XSS, один из представителей DarkSide объявил об обновлении DarkSide как версии PowerShell и крупном обновлении варианта Linux:
В текущих образцах, которые мы наблюдаем, мы действительно видим компонент PowerShell, который используется, например, для удаления теневых копий тома.
- После того, как была создана прочная точка опоры, акторы используют несколько инструментов, чтобы получить больше привилегий.
Обнаруженных инструментов:
- Mimikatz
- Самосвальный LSASS
- Дампер паролей IE / FireFox
- Электроинструмент64
- Империя
- Обход UAC
- После получения достаточного количества привилегий пора составить карту сети и определить наиболее важные системы, такие как серверы, хранилище и другие важные активы.Было замечено, что в нескольких случаях использовались следующие инструменты:
- Бладхаунд
- ADFind
- ADRecon
- Сканеры IP
- Несколько собственных инструментов Windows
- Скрипты PowerShell
Перед распространением программы-вымогателя по сети с помощью таких инструментов, как PsExec и PowerShell, данные были отправлены в облачные службы, которые позже будут использоваться на странице DarkSide Leak в целях вымогательства. Архивирование данных с использованием Rclone или WinSCP — вот некоторые из наблюдаемых примеров.
Хотя наши коллеги написали много хороших и глубоких анализов, стоит отметить одну вещь: при запуске DarkSide процесс шифрования выполняется быстро. Это одна из областей, которыми актеры хвастаются на одном форуме и проводят сравнение, чтобы убедить аффилированные лица присоединиться к их программе:
DarkSide, как и программа-вымогатель Babuk, имеет версию для Linux. Обе нацелены на системы * nix, но, в частности, на серверы VMWare ESXi и хранилище / NAS. Хранилище / NAS имеет решающее значение для многих компаний, но многие ли из вас используют виртуальный рабочий стол, размещенный на сервере ESXi?
Darkside написал вариант Linux, который поддерживает шифрование сервера ESXI версии 5.0–7,1, а также технология NAS от Synology. Они заявляют, что скоро будут поддерживаться другие технологии NAS / резервного копирования.
В коде четко наблюдаем эту поддержку:
Кроме того, конфигурация версии для Linux показывает, что она явно ищет файлы типа виртуального диска / памяти:
Хотя противник недавно утверждал, что голосует за цели, атаки продолжаются с упакованными и подписанными образцами, наблюдаемыми совсем недавно (12 мая 2021 г.):
Заключение
Недавно Целевая группа по программам-вымогателям, партнерство, в котором McAfee гордится своим участием, выпустила подробный документ о том, как происходят атаки программ-вымогателей и как следует принимать меры противодействия.Поскольку многие из нас опубликовали, представили и выпустили исследования, пора действовать. Перейдите по ссылкам, включенным в этот блог, чтобы применить более широкий совет о применении доступной защиты и обнаружения в вашей среде против таких атак.
Техники MITER ATT & CK, используемые DarkSide:
Данные зашифрованы для удара — T1486
Запрет восстановления системы — T1490
Действующие счета — T1078
PowerShell — T1059.001
Выполнение услуг — T1569.002
Манипуляции со счетом — T1098
Внедрение динамически подключаемых библиотек — T1055.001
Обнаружение учетной записи — T1087
Обход управления доступом пользователей — T1548.002
Изменение прав доступа к файлам — T1222
Обнаружение системной информации — T1082
Обнаружение процесса — T1057
Снимок экрана — T1113
Компиляция после доставки — T1027.004
Учетные данные в реестре — T1552.002
Обфусцированные файлы или информация — T1027
Общие модули— T1129
Инструментарий управления Windows — T1047
Использование приложения для публичного доступа — T1190
Фишинг — T1566
Внешние удаленные службы — T1133
Многоканальный прокси — T1090.003
Использование для повышения привилегий — T1068
Протокол прикладного уровня — T1071
Обход контроля учетных записей пользователей — T1548.002
Обычно используемый порт — T1043
Компиляция после доставки — T1500
Учетные данные из хранилищ паролей — T1555
Учетные данные из веб-браузеров — T1555.003
Учетные данные в реестре — T1214
Деобфускация / декодирование файлов или информации — T1140
Отключить или изменить инструменты — T1562.001
Учетная запись домена— T1087.002
Группы доменов — T1069.002
Обнаружение доверия домена — T1482
Эксфильтрация по альтернативному протоколу — T1048
Эксфильтрация в облачное хранилище — T1567.002
Обнаружение файлов и каталогов — T1083
Сбор информации о сети жертв — T1590
Передача входного инструмента — T1105
Изменение прав доступа к файлам и каталогам в Linux и Mac — T1222.002
Маскарадинг — T1036
Технологический впрыск — T1055
Обнаружение удаленной системы — T1018
Запланированное задание / задание — T1053
Остановка обслуживания — T1489
Обнаружение конфигурации сети системы— T1016
Системные услуги — T1569
Taint Общий контент — T1080
Оболочка Unix — T1059.004
Моральное подполье? Операторы программ-вымогателей отступают…
Атака программ-вымогателей на Colonial Pipeline вызвала множество проблем в Соединенных Штатах.Похоже, эта проблема вернулась в подполье киберпреступности.
Intel 471 наблюдала, как многочисленные операторы программ-вымогателей и форумы по киберпреступности либо заявляют, что их инфраструктура отключена, изменяя свои правила, либо полностью отказываются от программ-вымогателей из-за большого количества негативного внимания, направленного на них за последнюю неделю.
13 мая 2021 года операторы DarkSide Ransomware-as-a-Service (RaaS) объявили о немедленном прекращении работы программы DarkSide RaaS.Операторы заявили, что выпустят дешифраторы для всех своих аффилированных лиц для целей, на которые они напали, и пообещали компенсировать все невыполненные финансовые обязательства к 23 мая 2021 года. Группа, которая была названа виновной в инциденте с колониальным трубопроводом, также прошла Объявление своим аффилированным лицам о том, что публичная часть инфраструктуры группы была нарушена неустановленным правоохранительным органом. Блог группы с позором и позором, веб-сайт для сбора выкупа и сеть доставки контента для взлома данных (CDN) были якобы арестованы, а средства из их кошельков с криптовалютой якобы были изъяты.
Intel 471 получил анонс, который доступен ниже.
Заметка, которую DarkSide передала аффилированным лицам.В переводе на английский, примечание гласит:
Начиная с первой версии, мы обещали честно и открыто говорить о проблемах. Пару часов назад мы потеряли доступ к публичной части нашей инфраструктуры, в частности к
.блог
платежный сервер
Серверы CDN
На данный момент эти серверы недоступны по SSH, а панели хостинга заблокированы.
Служба поддержки хостинга не предоставляет никакой информации кроме «по запросу правоохранительных органов». Кроме того, через пару часов после ареста средства с платежного сервера (принадлежащего нам и нашим клиентам) были выведены на неизвестный счет.
Для решения текущей проблемы будут предприняты следующие действия: Вам будут предоставлены инструменты дешифрования для всех компаний, которые еще не заплатили.
После этого вы сможете свободно общаться с ними где угодно и как угодно.Обратитесь в службу поддержки. Мы снимем депозит, чтобы решить проблемы со всеми затронутыми пользователями.
Ориентировочная дата выплаты компенсации — 23 мая (в связи с тем, что депозит будет приостановлен на 10 дней на XSS).
I Ввиду вышеизложенного и из-за давления со стороны США партнерская программа закрыта. Оставайтесь в безопасности и удачи.
Целевая страница, серверы и другие ресурсы будут отключены в течение 48 часов.
DarkSide была не единственной группой, сделавшей подобное заявление 13 мая. Другая группа RaaS, Бабук, заявила, что передала исходный код вымогателя «другой команде», которая продолжит его разработку под новым брендом. Группа пообещала остаться в бизнесе, продолжая вести блог с позором и позором жертв, а также побуждала другие банды вымогателей перейти на частный режим работы. Это объявление было сделано после того, как группа обнародовала оставшуюся часть данных, украденных из городского управления полиции округа Колумбия.Этот архив, содержащий данные объемом 250 ГБ, якобы включал личные данные офицеров и вспомогательного персонала, базу данных, заполненную информацией о преступниках, а также информацию о полицейских осведомителях.
Хотя Бабук пообещал продолжать работу, ему может быть трудно найти филиалы. Вскоре после вышеупомянутых объявлений администратор одного из самых популярных русскоязычных форумов по киберпреступности объявил о немедленном запрете всей деятельности, связанной с программами-вымогателями, на своем форуме.На форуме теперь запрещена реклама программ-вымогателей, продажи, услуги переговоров о выкупе и аналогичные предложения. Любые объявления, которые в настоящее время есть на форумах, будут удалены. Администратор объяснил этот шаг тем, что операции с программами-вымогателями становятся «все более токсичными» и опасными для подпольного сообщества.
Это объявление произвело фурор на форуме, заставив другие известные аффилированные лица RaaS делать собственные объявления о статусе своей деятельности. Один оператор, который, как известно, стоит за программой-вымогателем REvil, объявил, что прекратит продвигать свое вредоносное ПО на форуме, удалив ветку форума, в которой рекламировалась услуга.Оператор заявил, что REvil продолжит работу на другом известном русскоязычном форуме по киберпреступности, но ожидал, что этот форум вскоре также запретит всю деятельность, связанную с программами-вымогателями. Если это произойдет, оператор сказал, что REvil, скорее всего, станет полностью закрытым.
Вскоре после этого оператор REvil опубликовал согласованные заявления с оператором программы Avaddon RaaS, объявив о поправке к «правилам» своих организаций. Обновления запретили аффилированным лицам нацеливаться на государственные, медицинские, образовательные и благотворительные организации независимо от страны их деятельности.Кроме того, все другие цели должны быть предварительно одобрены операторами программы-вымогателя до фактического развертывания.
Intel 471 считает, что все эти действия могут быть напрямую связаны с реакцией на громкие атаки программ-вымогателей, о которых СМИ рассказали на этой неделе. Однако к этим разработкам следует сделать серьезную оговорку: вполне вероятно, что операторы программ-вымогателей скорее пытаются уйти из поля зрения, чем внезапно обнаруживают свои ошибки. Некоторые операторы, скорее всего, будут работать в своих собственных сплоченных группах, появляясь под новыми именами и обновленными вариантами программ-вымогателей.Кроме того, операторам придется найти новый способ «отмыть» криптовалюту, которую они зарабатывают на выкупе. Intel 471 обнаружила, что BitMix, популярный сервис микширования криптовалюты, используемый Avaddon, DarkSide и REvil, якобы прекратил работу. Несколько очевидных клиентов сервиса сообщили, что не смогли получить доступ к BitMix на прошлой неделе.
Кроме того, будут операторы программ-вымогателей, которые продолжат свои операции, несмотря на все внимание этой недели. В тот же день, когда было объявлено, что REvil и Avaddon: оператор здравоохранения Ирландии был вынужден закрыть все свои ИТ-системы из-за «серьезной» атаки программ-вымогателей.