NYT получила доступ к программе, через которую работают хакеры DarkSide. У нее оказался русский интерфейс

Как писала The Wall Street Journal, хакеры, проводившие атаку на оператора американского трубопровода Colonial Pipeline, использовали программы-вымогатели, которые блокируют системы и требуют от жертв плату за разблокировку.

The New York Times отмечает, что разработанная DarkSide программа-вымогатель предлагается клиентам по модели «программа как услуга». Разработчик вредоносного ПО берет плату с заказчика, который «может не иметь технических навыков для создания программы-вымогателя, но все же способен взломать компьютер жертвы».

Услуги DarkSide включают в себя оказание технической поддержки хакерам, ведение переговоров с жертвами атак, обработку платежей и разработку специализированных кампаний давления с помощью шантажа и других средств, таких как повторные взломы. За эти услуги хакерская группировка получает определенную комиссию: от 25%, если сумма, полученная от жертвы, составляет менее 500 тысяч долларов, и до 10% — если выше 5 миллионов долларов. Это следует из данных компании FireEye, специализирующейся на компьютерной безопасности.

Журналисты получили доступ к системе управления, которую хакеры-партнеры DarkSide используют для организации атак. Данные для входа The New York Times предоставил один из клиентов DarkSide.

Газета приводит скриншот с правилами «партнерской программы» DarkSide на русском языке. Там говорится, что группировка в работе с партнерами «использует качественный, а не количественный подход» и «очень дорожит своей репутацией». Ресурсы DarkSide, согласно этим правилам, запрещено использовать против медицинских и образовательных организаций, государственного сектора, сферы похоронных услуг и благотворительных организаций. Кроме того, «запрещено работать по странам СНГ».

Панель управления DarkSide все еще работала 20 мая, когда доступ к ней получит корреспондент газеты. При этом за несколько дней до этого группировка объявила о закрытии. Сотрудник службы поддержки клиентов почти сразу ответил на запрос корреспондента в чате, но когда он представился журналистом, аккаунт сразу же заблокировали.

Одной из жертв DarkSide стало небольшое американское издательство, которое в основном работает с начальными школами. От него потребовали выкуп в размере 1,75 миллиона долларов. The New York Times удалось узнать подробности атаки. Первое, что видит жертва на экране, это сообщение на английском: «Добро пожаловать в DarkSide». После чего появляется информация, что компьютеры и серверы атакованного зашифрованы, а все резервные копии удалены.  

Программное обеспечение DarkSide не только блокирует компьютеры жертв, но и крадет конфиденциальные данные, позволяя хакерам требовать оплаты не только за разблокировку, но и за отказ от раскрытия персональной информации. Журналисты получили доступ к архиву чата, в котором беседовали сотрудник службы поддержки DarkSide и хакер Уорис, проводивший атаку на издательство. Сотрудник в переписке хвастался, что участвовал в более чем 300 атаках с требованием выкупа. Вместе они разработали план по оказанию давления на издательство, которое представляет собой семейный бизнес с более чем 100-летней историей.  

Переговоры о выплате между издательством и хакерской группировкой длились 22 дня и велись по электронной почте с хакерами, которые «говорили на искаженном английском», утверждает представитель компании. В марте переговоры провалились из-за отказа издательства выплатить 1,75 миллиона долларов. В ответ DarkSide угрожала утечкой новости об атаке в СМИ.

«Игнорирование — очень  плохая стратегия для вас. У вас не так много времени. Через два дня мы разошлем новость по всем крупным СМИ. И все увидят катастрофическую утечку данных», — написал представитель DarkSide в письме.

После атаки на Colonial Pipeline Джо Байден заявил, что США имеют основания полагать, что стоящие за кибератакой хакеры живут в России. При этом он отметил, что российские власти вряд ли были причастны к атаке, но несут «определенную ответственность». На следующий день после того, как в СМИ появилась информация об атаке на трубопровод, участники хакерской группировки надеялись на пожертвования от своих партнеров, разместив соответствующее сообщение, отмечает The New York Times. Вскоре на форуме хакеров появилось сообщении о том, что они не закрывают, но продают свою инфраструктуру, чтобы другие хакеры могли «продолжить прибыльный бизнес через программы-вымогатели.

«Атака DakrSide на оператора трубопровода не просто вывело банду на международную арену. Это также привлекло внимание к быстро развивающейся криминальной индустрии, базирующийся в основном в России, которая превратилась из специальности, требующей очень сложных навыков взлома, в конвейерный процесс. Теперь даже мелкие преступные синдикаты и хакеры с посредственными компьютерными возможностями могут представлять потенциальную угрозу национальной безопаности», — пишет The New York Times.

Colonial Pipeline — оператор трубопровода протяженностью более 8800 километров. Через него поставляется 45% бензина и дизельного топлива на Восточное побережье США. 7 мая компания заявила, что подверглась кибератаке, в результате которой была вынуждена приостановить подачу топлива. Хакеры потребовали от нее плату за разблокировку компьютерных систем. Bloomberg писал, что компания выплатила хакерам около пяти миллионов долларов, чтобы восстановить доступ к взломанным системам. Остановка трубопровода привела к перебоям в поставках бензина на восточном побережье США. 

ФБР обвинила в кибератаке хакерскую группировку DarkSide, которая вероятно базируют, по данным американских СМИ, в России. Хакеры отвергли свою связь с властями какого-либо государства, а также намекнула, что не участвовала в атаке непосредственно сама.