DarkSide vs Colonial Pipeline. Как взлом оператора трубопроводов вынудил андеграунд запретить шифровальщики - «Новости»

Ата­ка на ком­панию Colonial Pipeline, которая явля­ется круп­ней­шим в США опе­рато­ром тру­боп­роводов и занима­ется тран­спор­тиров­кой топ­лива, ста­ла резонан­сным инци­ден­том. Из‑за этой ата­ки воз­никли проб­лемы с пос­тавка­ми бен­зина, дизель­ного топ­лива, ави­ацион­ного топ­лива и дру­гих про­дук­тов неф­тепере­работ­ки в ряде шта­тов.

Де­ло в том, что инци­дент вынудил Colonial Pipeline вре­мен­но при­оста­новить работу, а ком­пания тран­спор­тиру­ет неф­тепро­дук­ты меж­ду неф­тепере­раба­тыва­ющи­ми завода­ми, рас­положен­ными на побережье Мек­сикан­ско­го залива, и рын­ками на юге и вос­токе США. В день по тру­боп­роводу ком­пании, чья про­тяжен­ность сос­тавля­ет 5500 миль, про­ходит до 2 500 000 бар­релей, то есть при­мер­но 45% все­го топ­лива, пот­ребля­емо­го на Вос­точном побережье США.

«7 мая ста­ло извес­тно, что ком­пания Colonial Pipeline ста­ла жер­твой кибера­таки. Мы пре­вен­тивно отклю­чили опре­делен­ные сис­темы, что­бы сдер­жать угро­зу, которая вре­мен­но прер­вала работу нашего тру­боп­ровода и зат­ронула некото­рые ИТ‑сис­темы. Узнав о проб­леме, мы обра­тились к сто­рон­ней фир­ме, занима­ющей­ся кибер­безопас­ностью, и они уже начали рас­сле­дова­ние харак­тера и мас­шта­бов это­го инци­ден­та, которое еще про­дол­жает­ся», — гла­сило офи­циаль­ное заяв­ление Colonial Pipeline, сде­лан­ное сра­зу пос­ле инци­ден­та.

В резуль­тате Федераль­ная адми­нис­тра­ция безопас­ности гру­зово­го авто­мобиль­ного тран­спор­та при Минис­терс­тве тран­спор­та США объ­яви­ла реги­ональ­ный режим ЧС, зат­рагива­ющий 17 шта­тов и округ Колум­бия. Это решение было при­нято для ока­зания помощи пос­тра­дав­шим рай­онам, нуж­дающим­ся в немед­ленных пос­тавках бен­зина, дизель­ного топ­лива, ави­аке­роси­на и дру­гих про­дук­тов неф­тепере­работ­ки.

Ре­жим ЧС рас­простра­нял­ся на сле­дующие шта­ты и окру­га: Ала­бама, Арканзас, Вир­джи­ния, Делавэр, Джор­джия, Кен­тукки, округ Колум­бия, Луизиана, Мис­сисипи, Мэриленд, Нью‑Джер­си, Нью‑Йорк, Пен­силь­вания, Север­ная Кароли­на, Тен­неси, Техас, Фло­рида и Южная Кароли­на.

Пред­ста­вите­ли Colonial Pipeline уве­ряли, что работа­ют с пра­воох­ранитель­ными орга­нами и Минис­терс­твом энер­гетики США, что­бы пос­тепен­но вер­нуть в строй сег­менты тру­боп­ровода и в крат­чай­шие сро­ки вос­ста­новить работу ИТ‑сис­тем.

Выкуп в размере 4,4 миллиона долларов

Вско­ре пос­ле того как о взло­ме ста­ло извес­тно, изда­ние Bloomberg, со ссыл­кой на собс­твен­ные ано­ним­ные источни­ки, сооб­щило, что ком­пания вып­латила вымога­телям выкуп в раз­мере 5 мил­лионов дол­ларов США. Хотя при этом Washington Post и Reuters писали, что ком­пания не намере­на вес­ти перего­воры со зло­умыш­ленни­ками, жур­налис­ты Bloomberg заяви­ли, что эта информа­ция не соот­ветс­тву­ет дей­стви­тель­нос­ти.

Поч­ти одновре­мен­но с появ­лени­ем этих сооб­щений в прес­се Colonial Pipeline дей­стви­тель­но уда­лось вос­ста­новить штат­ную работу сво­его тру­боп­ровода, и пос­тавки неф­тепро­дук­тов были возоб­новле­ны в нор­маль­ном объ­еме.

Нес­коль­ко дней спус­тя гла­ва Colonial Pipeline Джо­зеф Бла­унт (Joseph Blount) офи­циаль­но под­твер­дил жур­налис­там Wall Street Journal, что ком­пания зап­латила зло­умыш­ленни­кам 4,4 мил­лиона дол­ларов США в бит­кой­нах. По его сло­вам, это было необ­ходимо, что­бы как мож­но быс­трее опра­вить­ся от ата­ки шиф­роваль­щика, которая ока­зала вли­яние на кри­тичес­ки важ­ную энер­гетичес­кую инфраструк­туру. Бла­унт наз­вал вып­лату выкупа «пра­виль­ным пос­тупком», сде­лан­ным «ради стра­ны».

«Я знаю, это весь­ма спор­ное решение. Мне было нелег­ко это сде­лать. Приз­наюсь, было неком­фор­тно наб­людать за тем, как день­ги ухо­дят к подоб­ным людям», — рас­ска­зал Бла­унт, заявив, что выкуп был вып­лачен еще 7 мая.

В ито­ге ком­пания дей­стви­тель­но получи­ла инс­тру­мент для дешиф­рования дан­ных, одна­ко он работал столь мед­ленно, что спе­циалис­ты ком­пании были вынуж­дены про­дол­жить ранее начатое вос­ста­нов­ление сис­тем из резер­вных копий.

DarkSide

Поч­ти сра­зу было извес­тно, что за ата­кой на Colonial Pipeline сто­ят опе­рато­ры шиф­роваль­щика DarkSide. Пер­вым об этом сооб­щило изда­ние Washington Post, и вско­ре эту информа­цию офи­циаль­но под­твер­дило ФБР.

Груп­пиров­ка, соз­давшая мал­варь DarkSide, активна с августа 2020 года и работа­ет по схе­ме «вымога­тель как услу­га» (Ransomware as a Service, RaaS), активно рек­ламируя мал­варь в дар­кне­те и сот­рудни­чая с дру­гими хак‑груп­пами. В ито­ге DarkSide пред­став­ляет собой клас­сичес­кого «охот­ника за круп­ной дичью», то есть пре­иму­щес­твен­но ата­кует круп­ные кор­поратив­ные сети, шиф­рует дан­ные, а затем тре­бует у пос­тра­дав­ших ком­паний огромные выкупы. Если жер­твы отка­зыва­ются пла­тить, учас­тни­ки DarkSide пуб­лику­ют похищен­ные у них дан­ные на сво­ем сай­те в дар­кне­те.

Сог­ласно све­жему отче­ту ком­пании Elliptic, занима­ющей­ся блок­чейн‑ана­лизом, к нас­тояще­му момен­ту хакеры успе­ли «зарабо­тать» на выкупах око­ло 90 мил­лионов дол­ларов.

«В общей слож­ности чуть более 90 мил­лионов дол­ларов в бит­кой­нах было вып­лачено DarkSide из 47 раз­личных кошель­ков», — говорит­ся в отче­те ком­пании.

Пос­коль­ку DarkSide работал по модели RaaS, раз­работ­чики шиф­роваль­щика оставля­ли себе око­ло 25% вып­лачен­ных выкупов или 10%, если выкуп пре­вышал 5 мил­лионов дол­ларов. Поэто­му в Elliptic полага­ют, что в дей­стви­тель­нос­ти сами хакеры «зарабо­тали» око­ло 15,5 мил­лиона дол­ларов, а осталь­ные средс­тва оста­лись в руках «пар­тне­ров» груп­пиров­ки (зло­умыш­ленни­ков, которые взла­мыва­ют сети жертв и раз­ворачи­вают в них мал­варь).

Мно­гие экспер­ты заяв­ляли, что, ата­ковав Colonial Pipeline, хакеры заш­ли слиш­ком далеко и теперь пред­став­ляют боль­шой инте­рес для пра­воох­ранитель­ных орга­нов США.

При этом пре­зидент США Джо Бай­ден заявил на пресс‑кон­ферен­ции, что информа­ции о при­час­тнос­ти к этой ата­ке рос­сий­ско­го пра­витель­ства нет, но, по дан­ным спец­служб, учас­тни­ки хак‑груп­пы могут находить­ся на тер­ритории Рос­сии. Бай­ден сооб­щал, что влас­ти США намере­ны помешать работе хак‑груп­пы, и для это­го уже были про­веде­ны перего­воры с Мос­квой.

Исчезновение DarkSide

Так как ата­ка на Colonial Pipeline прив­лекла вни­мание экспер­тов, спец­служб и СМИ со все­го мира, уже через нес­коль­ко дней хакеры пос­пешили выпус­тить заяв­ление. Тог­да как в прес­се дан­ную ата­ку пытались при­писать рос­сий­ским пра­витель­ствен­ным хакерам, в «пресс‑релизе», который был опуб­ликован на сай­те DarkSide 10 мая, говори­лось, что груп­пиров­ка апо­литич­на и прес­леду­ет исклю­читель­но собс­твен­ные цели. Так­же хакеры, похоже, были не рады тому, какой хаос спро­воци­рова­ли их дей­ствия. Они пообе­щали впредь вни­матель­нее про­верять будущие цели:

«Мы апо­литич­ны, не свя­заны с геопо­лити­кой, и не нуж­но свя­зывать нас с опре­делен­ными пра­витель­ства­ми и искать дру­гие мотивы. Наша цель — зараба­тывать день­ги, а не соз­давать проб­лемы для общес­тва.

С сегод­няшне­го дня мы вво­дим модера­цию и будем про­верять каж­дую ком­панию, которую наши кли­енты хотят зашиф­ровать, что­бы избе­жать подоб­ных соци­аль­ных пос­ледс­твий в будущем».

14 мая 2021 года опе­рато­ры DarkSide обна­родо­вали еще одно сооб­щение, в котором заяви­ли, что они утра­тили кон­троль над сво­ими веб‑сер­верами и средс­тва­ми, получен­ными в резуль­тате вып­латы выкупов, и теперь прек­раща­ют работу.