Hakerska franczyza. Kulisy działania grupy DarkSide

Bloomberg, oprac. Aleksander Żuławnik
opublikowano: 14-05-2021, 13:17

Amerykanie, którzy dotychczas niewiele wiedzieli o oprogramowaniu ransomware, odebrali w ostatnich dniach kosztowną lekcję o świecie globalnej cyberprzestępczości od grupy DarkSide. To właśnie hakerzy współpracujący z nią przeprowadzili atak na operatora rurociągu Colonial Pipeline, który wywołał trzęsienie ziemi na rynku paliw we wschodnich i południowych stanach USA.

Fot. Clint Patterson/Unsplash

DarkSide nie jest pojedynczą grupą hakerską, ale rodzajem kryminalnej franczyzy. Platforma udostępnia współpracownikom narzędzia i usługi w podobny sposób, w jaki McDonald's dostarcza właścicielom lokalnych restauracji gotowe przekąski i hamburgery.

„Ci faceci zapewniają marketing, ludzi, a także oprogramowanie ransomware” — powiedział Mark Arena, dyrektor generalny Intel 471, firmy zajmującej się cyberbezpieczeństwem, która monitoruje działania grupy DarkSide. „Prezesi z listy Fortune 500 byliby pod wrażeniem wydajności tego modelu biznesowego” — podkreślił Mark Arena.

Lista ofiar Dark Side’a

Od lata ubiegłego roku poszkodowanych w wyniku działań grupy Dark Side zostało kilkadziesiąt osób i podmiotów, w tym operatorzy pól naftowych, kancelarie prawne i banki.

Analiza BAE Systems Applied Intelligence wykazała, że większość ofiar DarkSide to firmy z USA, cyberprzestępcy uderzyli jednak także w przedsiębiorstwa z Europy, Afryki i Ameryki Południowej. W raporcie podkreślono, że hakerzy korzystający z narzędzi dostarczanych przez DarkSide są proszeni o powstrzymanie się od ataków na podmioty ze Wspólnoty Niepodległych Państw, czyli grupy zrzeszającej Rosję i większość krajów wchodzących niegdyś w skład Związku Radzieckiego, co z dużą dozą prawdopodobieństwa wskazuje na rzeczywisty rodowód tej organizacji.

W wyniku działań DarkSide’a poszkodowane zostały takie firmy, jak m.in. czołowy amerykański producent dywanów i wykładzin Dixie Group, dostawca produktów rolnych Carolina Eastern oraz producent maszyn spawalniczych dla przemysłu samochodowego Paslin. Ich przedstawiciele nie odpowiedzieli na prośbę Bloomberga o komentarz, jednak Dixie Group przyznała w kwietniu, że padła ofiarą ataku z użyciem oprogramowania ransomware.

Żadne z dotychczasowych włamań nie przyciągnęło takiej uwagi, jak atak na operatora mającego ponad 5000 mil rurociągu Colonial Pipeline, którym paliwo jest transportowana z teksańskiego Houston na wschodnie wybrzeże USA. Bloomberg ustalił, że spółka ugięła się pod żądaniami hakerów i zapłaciła okup w wysokości ok. 5 mln USD w kilka godzin po ataku, choć początkowo temu zaprzeczała.

Istnieją dowody na to, że organizacja nie chciała, aby włamanie miało aż tak wielki wpływ na rynki. Liderzy DarkSide’a wydali w poniedziałek oświadczenie, w którym stwierdzili, że nie interesuje ich geopolityka, a nawet nie zawsze kontrolują, które firmy są atakowane za pośrednictwem ich oprogramowania.

„To może być prawdą. To tradycyjny model afiliacyjny. Stworzono narzędzia, a następnie zachęcono wiele osób do korzystania z nich” — powiedział Adrian Nish, szef cyberprzestrzeni w BAE Systems Applied Intelligence.

W przypadku DarkSide’a obejmuje to nie tylko oprogramowanie ransomware, ale także usługi, takie jak m.in. hosting strony internetowej do publikacji poufnych danych skradzionych podczas ataków.

Newsletter ICT
Nowości z firm IT z naciskiem na spółki giełdowe: przetargi, informacje z rynku, newsy kadrowe i inne.
ZAPISZ MNIE
×
Newsletter ICT
autor: Grzegorz Suteniec
Wysyłany raz w tygodniu
Grzegorz Suteniec
Nowości z firm IT z naciskiem na spółki giełdowe: przetargi, informacje z rynku, newsy kadrowe i inne.
ZAPISZ MNIE
Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Nasz telefon kontaktowy to: +48 22 333 99 99. Nasz adres e-mail to: rodo@bonnier.pl. W naszej spółce mamy powołanego Inspektora Ochrony Danych, adres korespondencyjny: ul. Ludwika Narbutta 22 lok. 23, 02-541 Warszawa, e-mail: iod@bonnier.pl. Będziemy przetwarzać Pani/a dane osobowe by wysyłać do Pani/a nasze newslettery. Podstawą prawną przetwarzania będzie wyrażona przez Panią/Pana zgoda oraz nasz „prawnie uzasadniony interes”, który mamy w tym by przedstawiać Pani/u, jako naszemu klientowi, inne nasze oferty. Jeśli to będzie konieczne byśmy mogli wykonywać nasze usługi, Pani/a dane osobowe będą mogły być przekazywane następującym grupom osób: 1) naszym pracownikom lub współpracownikom na podstawie odrębnego upoważnienia, 2) podmiotom, którym zlecimy wykonywanie czynności przetwarzania danych, 3) innym odbiorcom np. kurierom, spółkom z naszej grupy kapitałowej, urzędom skarbowym. Pani/a dane osobowe będą przetwarzane do czasu wycofania wyrażonej zgody. Ma Pani/Pan prawo do: 1) żądania dostępu do treści danych osobowych, 2) ich sprostowania, 3) usunięcia, 4) ograniczenia przetwarzania, 5) przenoszenia danych, 6) wniesienia sprzeciwu wobec przetwarzania oraz 7) cofnięcia zgody (w przypadku jej wcześniejszego wyrażenia) w dowolnym momencie, a także 8) wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych). Podanie danych osobowych warunkuje zapisanie się na newsletter. Jest dobrowolne, ale ich niepodanie wykluczy możliwość świadczenia usługi. Pani/Pana dane osobowe mogą być przetwarzane w sposób zautomatyzowany, w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie się odbywało przy wykorzystaniu adekwatnych, statystycznych procedur. Celem takiego przetwarzania będzie wyłącznie optymalizacja kierowanej do Pani/Pana oferty naszych produktów lub usług.

Według Intel 471 kwoty okupów, których żąda się od największych firm za przywrócenie systemów informatycznych do pracy, sięgają dziesiątek milionów dolarów. DarkSide pobiera od 10 do 25 proc. prowizji z każdej z takich płatności.

Negocjacje z hakerami

Analitycy Intel 471 w styczniu obserwowali negocjacje między DarkSide’em a dużą firmą z USA. Hakerzy zażądali 30 mln USD, a także zagrozili podwojeniem kwoty, gdyby okup nie został zapłacony w określonym terminie. Cyberprzestępcy twierdzili, że w przypadku braku reakcji ujawnią poufne dane.

Hakerzy powiedzieli przedstawicielom firmy, że zaszyfrowali 500 głównych serwerów oraz setki serwerów zapasowych, co było sztuczką, która miała na celu zobrazowanie potężnej skali ataku. Po czterech dniach negocjacji poszkodowana firma zgodziła się zapłacić ponad 14 mln USD.

Wizerunek Robin Hooda

Niektóre grupy ransomware mają wyjątkowo złą reputację i uciekają się np. do cyberataków na szpitale w trakcie trwania pandemii. DarkSide od początku dba jednak o „profesjonalny” wizerunek, a nawet stara się kreować jako organizacja, której bliskie są wartości humanitaryzmu.

Analiza wykonana przez zajmującą się cyberbezpieczeństwem firmę eSentire wykazała, że oficjalnie grupa nie zezwala na używanie stworzonego przez siebie oprogramowania przeciwko służbom medycznym i organizacjom non profit. Jej liderzy twierdzą też, że przekazywali pieniądze na rzecz fundacji wspierających dzieci w trudnej sytuacji życiowej.

W pewnym momencie grupa zaproponowała, że udostępni inwestorom giełdowym poufne informacje wykradzione poszkodowanym spółkom, które będą mogli wykorzystać do zarabiania pieniędzy na rynku kapitałowym. Posunięcie to wydawało się próbą nawiązania do legendy Robin Hooda, który odbierał kosztowności bogatym i oddawał je biednym.

„Naszym celem jest zarabianie pieniędzy, a nie stwarzanie problemów społeczeństwu. Wprowadzamy moderację i sprawdzamy każdą firmę, którą nasi partnerzy chcą zaatakować, aby uniknąć konsekwencji społecznych“ — napisała grupa DarkSide w jednym z wydanych oświadczeń.

Adrian Nish twierdzi, że starannie pielęgnowany wizerunek to tylko chwyt marketingowy. „To są przestępcy i działają racjonalnie — robią to, czego potrzebują, aby osiągnąć swój cel” — podsumował ekspert BAE.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Polecane