Contact us in messengers or by phone.

whatsapp telegram viber phone email
+79214188555

How a pipeline operator hack forced the underground to ban ransomware ATTACK ON COLONIAL PIPELINE

root

Staff member
Full members of NP "MOD"
Joined
Feb 17, 2007
Messages
678
Reaction score
1,026
Points
93

Как взлом оператора трубопроводов вынудил андеграунд запретить шифровальщики​


e372f7be09ad76cd64763.jpg

АТАКА НА COLONIAL PIPELINE​

Крупные компании и организации в последнее время нередко становятся жертвами хакерских атак. Но если одни хакерские группы обещают не атаковать сферу здравоохранения, критическую инфраструктуру и в целом стараются не привлекать к себе излишнее внимание, другие не щадят никого и даже во время пандемии коронавируса атакуют сети медицинских учреждений.

Атака на компанию Colonial Pipeline, которая является крупнейшим в США оператором трубопроводов и занимается транспортировкой топлива, стала резонансным инцидентом. Из‑за этой атаки возникли проблемы с поставками бензина, дизельного топлива, авиационного топлива и других продуктов нефтепереработки в ряде штатов.

Дело в том, что инцидент вынудил Colonial Pipeline временно приостановить работу, а компания транспортирует нефтепродукты между нефтеперерабатывающими заводами, расположенными на побережье Мексиканского залива, и рынками на юге и востоке США. В день по трубопроводу компании, чья протяженность составляет 5500 миль, проходит до 2 500 000 баррелей, то есть примерно 45% всего топлива, потребляемого на Восточном побережье США.

«7 мая стало известно, что компания Colonial Pipeline стала жертвой кибератаки. Мы превентивно отключили определенные системы, чтобы сдержать угрозу, которая временно прервала работу нашего трубопровода и затронула некоторые ИТ‑системы. Узнав о проблеме, мы обратились к сторонней фирме, занимающейся кибербезопасностью, и они уже начали расследование характера и масштабов этого инцидента, которое еще продолжается», — гласило официальное заявление Colonial Pipeline, сделанное сразу после инцидента.
В результате Федеральная администрация безопасности грузового автомобильного транспорта при Министерстве транспорта США объявила региональный режим ЧС, затрагивающий 17 штатов и округ Колумбия. Это решение было принято для оказания помощи пострадавшим районам, нуждающимся в немедленных поставках бензина, дизельного топлива, авиакеросина и других продуктов нефтепереработки.

Режим ЧС распространялся на следующие штаты и округа: Алабама, Арканзас, Вирджиния, Делавэр, Джорджия, Кентукки, округ Колумбия, Луизиана, Миссисипи, Мэриленд, Нью‑Джерси, Нью‑Йорк, Пенсильвания, Северная Каролина, Теннеси, Техас, Флорида и Южная Каролина.

Представители Colonial Pipeline уверяли, что работают с правоохранительными органами и Министерством энергетики США, чтобы постепенно вернуть в строй сегменты трубопровода и в кратчайшие сроки восстановить работу ИТ‑систем.

ВЫКУП В РАЗМЕРЕ 4,4 МИЛЛИОНА ДОЛЛАРОВ​

Вскоре после того как о взломе стало известно, издание Bloomberg, со ссылкой на собственные анонимные источники, сообщило, что компания выплатила вымогателям выкуп в размере 5 миллионов долларов США. Хотя при этом Washington Post и Reuters писали, что компания не намерена вести переговоры со злоумышленниками, журналисты Bloomberg заявили, что эта информация не соответствует действительности.

Почти одновременно с появлением этих сообщений в прессе Colonial Pipeline действительно удалось восстановить штатную работу своего трубопровода, и поставки нефтепродуктов были возобновлены в нормальном объеме.

pipeline.jpg

Сообщение о возобновлении работы трубопровода
Несколько дней спустя глава Colonial Pipeline Джозеф Блаунт (Joseph Blount) официально подтвердил журналистам Wall Street Journal, что компания заплатила злоумышленникам 4,4 миллиона долларов США в биткойнах. По его словам, это было необходимо, чтобы как можно быстрее оправиться от атаки шифровальщика, которая оказала влияние на критически важную энергетическую инфраструктуру. Блаунт назвал выплату выкупа «правильным поступком», сделанным «ради страны».

«Я знаю, это весьма спорное решение. Мне было нелегко это сделать. Признаюсь, было некомфортно наблюдать за тем, как деньги уходят к подобным людям», — рассказал Блаунт, заявив, что выкуп был выплачен еще 7 мая.
В итоге компания действительно получила инструмент для дешифрования данных, однако он работал столь медленно, что специалисты компании были вынуждены продолжить ранее начатое восстановление систем из резервных копий.

DARKSIDE​

Почти сразу было известно, что за атакой на Colonial Pipeline стоят операторы шифровальщика DarkSide. Первым об этом сообщило издание Washington Post, и вскоре эту информацию официально подтвердило ФБР.

Группировка, создавшая малварь DarkSide, активна с августа 2020 года и работает по схеме «вымогатель как услуга» (Ransomware as a Service, RaaS), активно рекламируя малварь в даркнете и сотрудничая с другими хак‑группами. В итоге DarkSide представляет собой классического «охотника за крупной дичью», то есть преимущественно атакует крупные корпоративные сети, шифрует данные, а затем требует у пострадавших компаний огромные выкупы. Если жертвы отказываются платить, участники DarkSide публикуют похищенные у них данные на своем сайте в даркнете.

Согласно свежему отчету компании Elliptic, занимающейся блокчейн‑анализом, к настоящему моменту хакеры успели «заработать» на выкупах около 90 миллионов долларов.

«В общей сложности чуть более 90 миллионов долларов в биткойнах было выплачено DarkSide из 47 различных кошельков», — говорится в отчете компании.
Поскольку DarkSide работал по модели RaaS, разработчики шифровальщика оставляли себе около 25% выплаченных выкупов или 10%, если выкуп превышал 5 миллионов долларов. Поэтому в Elliptic полагают, что в действительности сами хакеры «заработали» около 15,5 миллиона долларов, а остальные средства остались в руках «партнеров» группировки (злоумышленников, которые взламывают сети жертв и разворачивают в них малварь).

darksideransompayments1.jpg

Многие эксперты заявляли, что, атаковав Colonial Pipeline, хакеры зашли слишком далеко и теперь представляют большой интерес для правоохранительных органов США.

При этом президент США Джо Байден заявил на пресс‑конференции, что информации о причастности к этой атаке российского правительства нет, но, по данным спецслужб, участники хак‑группы могут находиться на территории России. Байден сообщал, что власти США намерены помешать работе хак‑группы, и для этого уже были проведены переговоры с Москвой.

ИСЧЕЗНОВЕНИЕ DARKSIDE​

Так как атака на Colonial Pipeline привлекла внимание экспертов, спецслужб и СМИ со всего мира, уже через несколько дней хакеры поспешили выпустить заявление. Тогда как в прессе данную атаку пытались приписать российским правительственным хакерам, в «пресс‑релизе», который был опубликован на сайте DarkSide 10 мая, говорилось, что группировка аполитична и преследует исключительно собственные цели. Также хакеры, похоже, были не рады тому, какой хаос спровоцировали их действия. Они пообещали впредь внимательнее проверять будущие цели:

«Мы аполитичны, не связаны с геополитикой, и не нужно связывать нас с определенными правительствами и искать другие мотивы. Наша цель — зарабатывать деньги, а не создавать проблемы для общества.
С сегодняшнего дня мы вводим модерацию и будем проверять каждую компанию, которую наши клиенты хотят зашифровать, чтобы избежать подобных социальных последствий в будущем».
press-release.jpg

14 мая 2021 года операторы DarkSide обнародовали еще одно сообщение, в котором заявили, что они утратили контроль над своими веб‑серверами и средствами, полученными в результате выплаты выкупов, и теперь прекращают работу.

«Несколько часов назад мы потеряли доступ к публичной части нашей инфраструктуры, а именно: к блогу, платежному серверу, серверам CDN. Теперь эти серверы недоступны через SSH, а панели хостинга заблокированы», — писал оператор DarkSide, известный как Darksupp, а также жаловался на то, что провайдер хостинга отказался помогать.

message.jpg

Кроме того, хакеры утверждали, что с сервера, где размещались полученные выкупы, была выведена криптовалюта. По словам Darksupp, эти средства группировка должна была разделить между собой и своими «партнерами», но деньги были переведены на неизвестный кошелек.

Журналисты издания The Record отмечали, что американские власти просто не успели бы предпринять никаких мер против хак‑группы так быстро и операторы DarkSide могли воспользоваться заявлениями президента Байдена в качестве прикрытия. То есть группировка сама заблокировала собственную инфраструктуру и скрылась с деньгами, не заплатив «партнерам» (классический exit scam).

Продолжение в следующем посте
 
Original message

Как взлом оператора трубопроводов вынудил андеграунд запретить шифровальщики​


e372f7be09ad76cd64763.jpg

АТАКА НА COLONIAL PIPELINE​

Крупные компании и организации в последнее время нередко становятся жертвами хакерских атак. Но если одни хакерские группы обещают не атаковать сферу здравоохранения, критическую инфраструктуру и в целом стараются не привлекать к себе излишнее внимание, другие не щадят никого и даже во время пандемии коронавируса атакуют сети медицинских учреждений.

Атака на компанию Colonial Pipeline, которая является крупнейшим в США оператором трубопроводов и занимается транспортировкой топлива, стала резонансным инцидентом. Из‑за этой атаки возникли проблемы с поставками бензина, дизельного топлива, авиационного топлива и других продуктов нефтепереработки в ряде штатов.

Дело в том, что инцидент вынудил Colonial Pipeline временно приостановить работу, а компания транспортирует нефтепродукты между нефтеперерабатывающими заводами, расположенными на побережье Мексиканского залива, и рынками на юге и востоке США. В день по трубопроводу компании, чья протяженность составляет 5500 миль, проходит до 2 500 000 баррелей, то есть примерно 45% всего топлива, потребляемого на Восточном побережье США.

«7 мая стало известно, что компания Colonial Pipeline стала жертвой кибератаки. Мы превентивно отключили определенные системы, чтобы сдержать угрозу, которая временно прервала работу нашего трубопровода и затронула некоторые ИТ‑системы. Узнав о проблеме, мы обратились к сторонней фирме, занимающейся кибербезопасностью, и они уже начали расследование характера и масштабов этого инцидента, которое еще продолжается», — гласило официальное заявление Colonial Pipeline, сделанное сразу после инцидента.
В результате Федеральная администрация безопасности грузового автомобильного транспорта при Министерстве транспорта США объявила региональный режим ЧС, затрагивающий 17 штатов и округ Колумбия. Это решение было принято для оказания помощи пострадавшим районам, нуждающимся в немедленных поставках бензина, дизельного топлива, авиакеросина и других продуктов нефтепереработки.

Режим ЧС распространялся на следующие штаты и округа: Алабама, Арканзас, Вирджиния, Делавэр, Джорджия, Кентукки, округ Колумбия, Луизиана, Миссисипи, Мэриленд, Нью‑Джерси, Нью‑Йорк, Пенсильвания, Северная Каролина, Теннеси, Техас, Флорида и Южная Каролина.

Представители Colonial Pipeline уверяли, что работают с правоохранительными органами и Министерством энергетики США, чтобы постепенно вернуть в строй сегменты трубопровода и в кратчайшие сроки восстановить работу ИТ‑систем.

ВЫКУП В РАЗМЕРЕ 4,4 МИЛЛИОНА ДОЛЛАРОВ​

Вскоре после того как о взломе стало известно, издание Bloomberg, со ссылкой на собственные анонимные источники, сообщило, что компания выплатила вымогателям выкуп в размере 5 миллионов долларов США. Хотя при этом Washington Post и Reuters писали, что компания не намерена вести переговоры со злоумышленниками, журналисты Bloomberg заявили, что эта информация не соответствует действительности.

Почти одновременно с появлением этих сообщений в прессе Colonial Pipeline действительно удалось восстановить штатную работу своего трубопровода, и поставки нефтепродуктов были возобновлены в нормальном объеме.

pipeline.jpg

Сообщение о возобновлении работы трубопровода
Несколько дней спустя глава Colonial Pipeline Джозеф Блаунт (Joseph Blount) официально подтвердил журналистам Wall Street Journal, что компания заплатила злоумышленникам 4,4 миллиона долларов США в биткойнах. По его словам, это было необходимо, чтобы как можно быстрее оправиться от атаки шифровальщика, которая оказала влияние на критически важную энергетическую инфраструктуру. Блаунт назвал выплату выкупа «правильным поступком», сделанным «ради страны».

«Я знаю, это весьма спорное решение. Мне было нелегко это сделать. Признаюсь, было некомфортно наблюдать за тем, как деньги уходят к подобным людям», — рассказал Блаунт, заявив, что выкуп был выплачен еще 7 мая.
В итоге компания действительно получила инструмент для дешифрования данных, однако он работал столь медленно, что специалисты компании были вынуждены продолжить ранее начатое восстановление систем из резервных копий.

DARKSIDE​

Почти сразу было известно, что за атакой на Colonial Pipeline стоят операторы шифровальщика DarkSide. Первым об этом сообщило издание Washington Post, и вскоре эту информацию официально подтвердило ФБР.

Группировка, создавшая малварь DarkSide, активна с августа 2020 года и работает по схеме «вымогатель как услуга» (Ransomware as a Service, RaaS), активно рекламируя малварь в даркнете и сотрудничая с другими хак‑группами. В итоге DarkSide представляет собой классического «охотника за крупной дичью», то есть преимущественно атакует крупные корпоративные сети, шифрует данные, а затем требует у пострадавших компаний огромные выкупы. Если жертвы отказываются платить, участники DarkSide публикуют похищенные у них данные на своем сайте в даркнете.

Согласно свежему отчету компании Elliptic, занимающейся блокчейн‑анализом, к настоящему моменту хакеры успели «заработать» на выкупах около 90 миллионов долларов.

«В общей сложности чуть более 90 миллионов долларов в биткойнах было выплачено DarkSide из 47 различных кошельков», — говорится в отчете компании.
Поскольку DarkSide работал по модели RaaS, разработчики шифровальщика оставляли себе около 25% выплаченных выкупов или 10%, если выкуп превышал 5 миллионов долларов. Поэтому в Elliptic полагают, что в действительности сами хакеры «заработали» около 15,5 миллиона долларов, а остальные средства остались в руках «партнеров» группировки (злоумышленников, которые взламывают сети жертв и разворачивают в них малварь).

darksideransompayments1.jpg

Многие эксперты заявляли, что, атаковав Colonial Pipeline, хакеры зашли слишком далеко и теперь представляют большой интерес для правоохранительных органов США.

При этом президент США Джо Байден заявил на пресс‑конференции, что информации о причастности к этой атаке российского правительства нет, но, по данным спецслужб, участники хак‑группы могут находиться на территории России. Байден сообщал, что власти США намерены помешать работе хак‑группы, и для этого уже были проведены переговоры с Москвой.

ИСЧЕЗНОВЕНИЕ DARKSIDE​

Так как атака на Colonial Pipeline привлекла внимание экспертов, спецслужб и СМИ со всего мира, уже через несколько дней хакеры поспешили выпустить заявление. Тогда как в прессе данную атаку пытались приписать российским правительственным хакерам, в «пресс‑релизе», который был опубликован на сайте DarkSide 10 мая, говорилось, что группировка аполитична и преследует исключительно собственные цели. Также хакеры, похоже, были не рады тому, какой хаос спровоцировали их действия. Они пообещали впредь внимательнее проверять будущие цели:

«Мы аполитичны, не связаны с геополитикой, и не нужно связывать нас с определенными правительствами и искать другие мотивы. Наша цель — зарабатывать деньги, а не создавать проблемы для общества.
С сегодняшнего дня мы вводим модерацию и будем проверять каждую компанию, которую наши клиенты хотят зашифровать, чтобы избежать подобных социальных последствий в будущем».
press-release.jpg

14 мая 2021 года операторы DarkSide обнародовали еще одно сообщение, в котором заявили, что они утратили контроль над своими веб‑серверами и средствами, полученными в результате выплаты выкупов, и теперь прекращают работу.

«Несколько часов назад мы потеряли доступ к публичной части нашей инфраструктуры, а именно: к блогу, платежному серверу, серверам CDN. Теперь эти серверы недоступны через SSH, а панели хостинга заблокированы», — писал оператор DarkSide, известный как Darksupp, а также жаловался на то, что провайдер хостинга отказался помогать.

message.jpg

Кроме того, хакеры утверждали, что с сервера, где размещались полученные выкупы, была выведена криптовалюта. По словам Darksupp, эти средства группировка должна была разделить между собой и своими «партнерами», но деньги были переведены на неизвестный кошелек.

Журналисты издания The Record отмечали, что американские власти просто не успели бы предпринять никаких мер против хак‑группы так быстро и операторы DarkSide могли воспользоваться заявлениями президента Байдена в качестве прикрытия. То есть группировка сама заблокировала собственную инфраструктуру и скрылась с деньгами, не заплатив «партнерам» (классический exit scam).

Продолжение в следующем посте

root

Staff member
Full members of NP "MOD"
Joined
Feb 17, 2007
Messages
678
Reaction score
1,026
Points
93

THE UNDERGROUND REACTION​

The story of the Colonial Pipeline hack received attention at the highest level, and many did not like the excessive attention of the authorities. Like a blast wave, the consequences of this attack soon spread to the largest hack forums and other malware operators.

The administration of the popular hacker forum XSS (formerly DaMaGeLab) was the first to announce the upcoming changes on May 14: the site was banned from advertising and selling any ransomware. Although such well-known groups as REvil, LockBit, DarkSide, Netwalker, Nefilim, often used the forum to advertise attracting new customers. The XSS spokesman wrote that the word "ranso" these days has become too dangerous and toxic.

“The main purpose of the DaMaGeLab forum is knowledge. We are a technical forum, we learn, research, share knowledge, write interesting articles. The goal of Ransomware is just to make money. The goals are not the same. No, of course, everyone needs money, but not to the detriment of basic aspirations. We are not a market or a marketplace.
Degradation is evident. Newcomers open up the media, see some crazy virtual millions of dollars that they will never get. They don't want anything, they don't learn anything, they don't code anything, they just don't even think, the whole essence of being comes down to 'encrypt - get $', ”the XSS administrator wrote in his statement (the full version of the message can be seen below).
xss-forum-post.jpg

As a result, extortionate affiliate programs, renting such malware and selling lockers were banned on XSS.

Soon after, another major hacking forum, RAID, joined the ransomware ban. Whereas XSS and Exploit advertised larger hack groups, RAID usually advertised beginner ransomware.
rf-ransomware-ban.jpg


The administration of another well-known forum, Exploit [.] In, has also announced that it is banning advertising for any ransomware. The admins explained this by the fact that lockers "attract a lot of attention."

exploit.jpg

What was happening could not but affect the hacker groups. For example, the "hero of the occasion" himself, the DarkSide ransomware stopped working, as already mentioned, and the operators of REvil, one of the largest ransomware on the market at the moment, announced that they intend to stop advertising their RaaS platform and will continue to work only privately. that is, with a small group of well-known and trusted persons.

Also, REvil plans to stop attacking important social sectors, including healthcare, education and government networks around the world, as such attacks can draw unwanted attention to the group's work. If a client does attack a “banned” company or organization, the hackers intend to provide the victims with a free decryption key, and then promise to stop working with such a “partner”.

Following REvil, the developers of another major ransomware, Avaddon, announced practically similar measures and restrictions.

abaddon.jpg

revilforum-post.jpg

Smaller extortionist groups have more serious problems with this rapid change. For example, cybersecurity researchers have noticed that at least two hack groups, Ako (Razny) and Everest, seem to have scaled down altogether.

NEW VERSION OF DARKSIDE​

Although DarkSide said it was over, many cybersecurity experts believe that hackers are not really going to stop "work." For example, just a week ago, Fortinet FortiGuard Labs specialists spoke about the discovery of a new version of the DarkSide ransomware. Although this version of malware appeared before the cessation of activity was announced, the researchers found it extremely interesting.

The new variant is capable of detecting and compromising partitioned hard drives and is expected to provide stronger file encryption. The malware also finds any backup files left by administrators in hidden sections and destroys them. The two most interesting features of this variant of the ransomware are the use of Active Directory and the attention to partitions on hard drives.

Experts say that this version of DarkSide first looks for domain controllers and then tries to use them to anonymously connect to Active Directory via LDAP with a blank password and a blank username. If successful, the malware tries to encrypt files in any network folders it can find, but avoids shared folders named C $ and ADMIN $. These are the default administrative shares and should only be accessible by administrators and backup operators.

"DarkSide probably avoids these shared resources in case it is not running in an administrator context, then attempts to gain access could potentially raise the alarm," the researchers explain.
Also, the new version of the malware scans the hard drive (in case it is a multi-boot system) and looks for additional volumes or partitions to encrypt files in them. If the found section has a GUID that matches the results of the DeviceloControl API call, the malware skips the section and moves on to the next one, because hackers need infected machines to remain at least in a semi-functional state. DarkSide tries to mount the other sections that have passed the validation using the SetVolumeMountPointW API, and then encrypts all files as well.

DISSATISFIED "CLIENTS"​

When the DarkSide operators unexpectedly curtailed all their operations and went into the shadows, their "partners" were left without payments, and now several proceedings are underway on the XSS hacker forum: hackers who have not received the money demand that the cryptocurrency deposit, previously made by DarkSide, be divided between them.

Such deposits are not uncommon on hacker resources. They play the role of insurance and guarantee, helping to avoid fraudulent relationships between sellers and buyers. For the operators of ransomware, the deposit is a kind of status confirmation and proof that they are running a "successful business." For example, last year the operators REvil posted on the hack forum a deposit in cryptocurrency equivalent to one million dollars.

To gain the trust of potential partners, the developers of DarkSide made a deposit of 22 bitcoins to XSS (about $ 860 thousand at the current exchange rate). The wallet where these funds are stored is controlled by the site administration, which acts as a guarantor and arbiter in case of disputes.

As the information security researchers now write, five partners of the group have already complained that the DarkSide operators owed them money for the ransom paid or hacking services.

  • The first partner claims to be a "pentester" and should have received 80% of the ransom paid by an unnamed victim. However, the DarkSide operators have stated that they no longer have access to the funds, that is, the money has not been received, and the partner now requires the use of the grouping deposit on XSS in order to receive their share.
  • The second partner states that bitcoins were already reserved for him on the partner portal, but he had to be distracted by family circumstances, and he did not have time to receive the money.
  • The third partner also writes that he was a "pentester" and secured the ransom payment right before the closure of DarkSide. He assures that he sent all the necessary confirmations to the XSS administration.
  • The fourth partner allegedly worked on hacking companies, but never received payment for his services in the amount of $ 150,000.
  • The fifth and last partner writes that he could not get 72 thousand dollars on time on the partner portal for health reasons.
claim-to-darksupp.jpg

darksupp-claim.jpg

defendant-deposit-1.jpg

For the first claim, filed on May 14, the XSS administrator, acting as arbiter, has already approved the compensation and transferred it from the DarkSide deposit. Also, the administration of the forum asks other "victims" to make themselves known, if any. However, analysts at Emsisoft believe that such messages are written only in order to create confusion. "This is a community of cybercriminals who know that their forum is closely watched by law enforcement agencies, information security companies and the press [...] Just dust in the eyes."

Maria Nefedova
xakep.ru
 
Original message

РЕАКЦИЯ АНДЕГРАУНДА​

История со взломом Colonial Pipeline удостоилась внимания на самом высшем уровне, а излишне пристальное внимание властей не понравилось многим. Подобно взрывной волне, последствия этой атаки вскоре докатились до крупнейших хак‑форумов и операторов другой малвари.

Первой о грядущих переменах 14 мая объявила администрация популярного хакерского форума XSS (ранее DaMaGeLab): на сайте запретили рекламировать и продавать любые программы‑вымогатели. Хотя такие известные группировки, как REvil, LockBit, DarkSide, Netwalker, Nefilim, часто использовали форум для рекламы привлечения новых клиентов. Представитель XSS и вовсе писал, что слово «рансом» в наши дни стало слишком опасным и токсичным.

«Основная цель существования форума DaMaGeLab — это знания. Мы — технический форум, мы учимся, исследуем, делимся знаниями, пишем интересные статьи. Цель Ransomware — это только лишь заработок. Цели не совпадают. Нет, конечно же, деньги нужны всем, но не во вред основным стремлениям. Мы ведь не рынок и не маркет‑площадка.
Деградация налицо. Новички открывают СМИ, видят там какие‑то безумные виртуальные миллионы долларов, которых они никогда не получат. Ничего не хотят, ничему не учатся, ничего не кодят, даже просто не думают, вся суть бытия сводится к „зашифруй — получи $“», — писал администратор XSS в своем заявлении (полную версию послания можно увидеть ниже).
xss-forum-post.jpg

В итоге на XSS оказались запрещены вымогательские партнерские программы, аренда такой малвари и продажа локеров.

Вскоре после этого к запрету на вымогательское ПО присоединился еще один крупный хакерский форум, RAID. Если на XSS и Exploit размещали рекламу более крупные хак‑группы, то на RAID обычно рекламировались начинающие вымогатели.
rf-ransomware-ban.jpg


Администрация еще одного известного форума, Exploit[.]in также объявила о том, что запрещает рекламу любых программ‑вымогателей. Админы объяснили это тем, что локеры «привлекают очень много внимания».

exploit.jpg

Происходящее не могло не отразиться и на хакерских группах. К примеру, сам «виновник торжества», шифровальщик DarkSide прекратил работу, как уже было упомянуто, а операторы REvil, одного из крупнейших шифровальщиков на рынке на данный момент, сообщили, что намерены перестать рекламировать свою RaaS-платформу и впредь будут работать только приватно, то есть с небольшой группой известных и доверенных лиц.

Также REvil планирует прекратить атаковать важные социальные секторы, включая здравоохранение, образование и правительственные сети любых стран мира, так как подобные атаки могут привлечь нежелательное внимание к работе группы. Если кто‑то из клиентов все же атакует «запрещенную» компанию или организацию, хакеры намерены предоставить жертвам бесплатный ключ дешифрования, а затем обещают прекратить работу с таким «партнером».

Вслед за REvil о практически аналогичных мерах и ограничениях объявили разработчики другого крупного вымогателя, Avaddon.

abaddon.jpg

revilforum-post.jpg

У мелких вымогательских группировок из‑за столь стремительных перемен возникли более серьезные проблемы. Так, ИБ‑исследователи заметили, что как минимум две хак‑группы, Ako (Razny) и Everest, похоже, вообще свернули свою деятельность.

НОВАЯ ВЕРСИЯ DARKSIDE​

Хотя представители DarkSide заявили, что все кончено, многие ИБ‑эксперты полагают, что на самом деле хакеры не собираются прекращать «работу». К примеру, всего неделю назад специалисты Fortinet FortiGuard Labs рассказали об обнаружении новой версии шифровальщика DarkSide. Хотя эта версия малвари появилась еще до объявления о прекращении деятельности, исследователи сочли ее крайне интересной.

Новый вариант способен обнаруживать и компрометировать жесткие диски, разбитые на разделы, и предполагается, что он обеспечивает более надежное шифрование файлов. Также малварь находит любые файлы резервных копий, оставленные администраторами в скрытых разделах, и уничтожает их. Две наиболее интересные особенности этого варианта вымогателя — использование Active Directory и внимание к разделам на жестких дисках.

Эксперты рассказывают, что сначала эта версия DarkSide ищет контроллеры домена, а затем пытается использовать их для анонимного подключения к Active Directory через LDAP с пустым паролем и пустым именем пользователя. В случае успеха малварь стремится зашифровать файлы в любых сетевых папках, которые может найти, но избегает общих папок с именами C$ и ADMIN$. Это общие административные ресурсы по умолчанию, которые должны быть доступны только администраторам и операторам резервного копирования.

«Вероятно, DarkSide избегает этих общих ресурсов на тот случай, если он запущен не в контексте администратора, тогда попытки получить доступ могут потенциально поднять тревогу», — поясняют исследователи.
Также новая версия малвари сканирует жесткий диск (на случай, если это multi-boot-система) и ищет дополнительные тома или разделы, чтобы зашифровать файлы и в них. Если у найденного раздела есть GUID, который соответствует результатам вызова DeviceloControl API, малварь пропускает раздел и переходит к следующему, ведь хакерам нужно, чтобы зараженные машины оставались хотя бы в полуисправном состоянии. Прочие разделы, прошедшие проверку, DarkSide пытается смонтировать с помощью API SetVolumeMountPointW, а затем тоже шифрует все файлы.

НЕДОВОЛЬНЫЕ «КЛИЕНТЫ»​

Когда операторы DarkSide неожиданно свернули все свои операции и ушли в тень, их «партнеры» остались без выплат, и теперь на хакерском форуме XSS идет несколько разбирательств: недополучившие деньги хакеры требуют, чтобы криповалютный депозит, ранее внесенный DarkSide, разделили между ними.

Подобные депозиты не редкость на хакерских ресурсах. Они играют роль страховки и гарантии, помогая избежать мошенничества в отношениях между продавцами и покупателями. Для операторов вымогательского ПО депозит и вовсе является своего рода подтверждением статуса и доказательством того, что они ведут «успешный бизнес». К примеру, в прошлом году операторы REvil поместили на хак‑форуме депозит в криптовалюте, эквивалентный одному миллиону долларов.

Чтобы завоевать доверие потенциальных партнеров, разработчики DarkSide внесли на XSS депозит в размере 22 биткойнов (около 860 тысяч долларов по текущему курсу). Кошелек, где хранятся эти средства, контролирует администрация сайта, который выступает гарантом и арбитром в случае возникновения споров.

Как теперь пишут ИБ‑исследователи, уже пять партнеров группировки пожаловались на то, что операторы DarkSide задолжали им деньги за уплаченный выкуп или услуги взлома.

  • Первый партнер утверждает, что был «пентестером» и должен был получить 80% выкупа, оплаченного неназванной жертвой. Однако операторы DarkSide заявили, что у них больше нет доступа к средствам, то есть деньги получены не были, и теперь партнер требует использовать депозит группировки на XSS для получения своей доли.
  • Второй партнер заявляет, что для него на партнерском портале уже были зарезервированы биткойны, но ему пришлось отвлечься на семейные обстоятельства, и получить деньги он не успел.
  • Третий партнер тоже пишет, что был «пентестером» и добился выплаты выкупа прямо перед закрытием DarkSide. Он уверяет, что отправил все необходимые подтверждения администрации XSS.
  • Четвертый партнер якобы работал над взломом компаний, но так и не получил платеж за свои услуги в размере 150 тысяч долларов.
  • Пятый и последний партнер пишет, что не смог вовремя получить 72 тысячи долларов на партнерском портале по состоянию здоровья.
claim-to-darksupp.jpg

darksupp-claim.jpg

defendant-deposit-1.jpg

По первой претензии, поданной 14 мая, администратор XSS, выступающий в качестве арбитра, уже утвердил компенсацию и перечислил ее из депозита DarkSide. Также администрация форума просит других «пострадавших» дать о себе знать, если таковые имеются. Однако аналитики компании Emsisoft считают, что такие сообщения пишутся только ради того, чтобы создать путаницу. «Это сообщество киберпреступников, которым известно, что за их форумом внимательно наблюдают правоохранительные органы, ИБ‑компании и пресса [...] Просто пыль в глаза».

Мария Нефёдова
xakep.ru

До нового года осталось