Как взлом оператора трубопроводов вынудил андеграунд запретить шифровальщики АТАКА НА COLONIAL PIPELINE

[root]

Как взлом оператора трубопроводов вынудил андеграунд запретить шифровальщики​

АТАКА НА COLONIAL PIPELINE​

Крупные компании и организации в последнее время нередко становятся жертвами хакерских атак. Но если одни хакерские группы обещают не атаковать сферу здравоохранения, критическую инфраструктуру и в целом стараются не привлекать к себе излишнее внимание, другие не щадят никого и даже во время пандемии коронавируса атакуют сети медицинских учреждений.

Атака на компанию Colonial Pipeline, которая является крупнейшим в США оператором трубопроводов и занимается транспортировкой топлива, стала резонансным инцидентом. Из‑за этой атаки возникли проблемы с поставками бензина, дизельного топлива, авиационного топлива и других продуктов нефтепереработки в ряде штатов.

Дело в том, что инцидент вынудил Colonial Pipeline временно приостановить работу, а компания транспортирует нефтепродукты между нефтеперерабатывающими заводами, расположенными на побережье Мексиканского залива, и рынками на юге и востоке США. В день по трубопроводу компании, чья протяженность составляет 5500 миль, проходит до 2 500 000 баррелей, то есть примерно 45% всего топлива, потребляемого на Восточном побережье США.

«7 мая стало известно, что компания Colonial Pipeline стала жертвой кибератаки. Мы превентивно отключили определенные системы, чтобы сдержать угрозу, которая временно прервала работу нашего трубопровода и затронула некоторые ИТ‑системы. Узнав о проблеме, мы обратились к сторонней фирме, занимающейся кибербезопасностью, и они уже начали расследование характера и масштабов этого инцидента, которое еще продолжается», — гласило официальное заявление Colonial Pipeline, сделанное сразу после инцидента.

В результате Федеральная администрация безопасности грузового автомобильного транспорта при Министерстве транспорта США объявила региональный режим ЧС, затрагивающий 17 штатов и округ Колумбия. Это решение было принято для оказания помощи пострадавшим районам, нуждающимся в немедленных поставках бензина, дизельного топлива, авиакеросина и других продуктов нефтепереработки.

Режим ЧС распространялся на следующие штаты и округа: Алабама, Арканзас, Вирджиния, Делавэр, Джорджия, Кентукки, округ Колумбия, Луизиана, Миссисипи, Мэриленд, Нью‑Джерси, Нью‑Йорк, Пенсильвания, Северная Каролина, Теннеси, Техас, Флорида и Южная Каролина.

Представители Colonial Pipeline уверяли, что работают с правоохранительными органами и Министерством энергетики США, чтобы постепенно вернуть в строй сегменты трубопровода и в кратчайшие сроки восстановить работу ИТ‑систем.

ВЫКУП В РАЗМЕРЕ 4,4 МИЛЛИОНА ДОЛЛАРОВ​

Вскоре после того как о взломе стало известно, издание Bloomberg, со ссылкой на собственные анонимные источники, сообщило, что компания выплатила вымогателям выкуп в размере 5 миллионов долларов США. Хотя при этом Washington Post и Reuters писали, что компания не намерена вести переговоры со злоумышленниками, журналисты Bloomberg заявили, что эта информация не соответствует действительности.

Почти одновременно с появлением этих сообщений в прессе Colonial Pipeline действительно удалось восстановить штатную работу своего трубопровода, и поставки нефтепродуктов были возобновлены в нормальном объеме.

Сообщение о возобновлении работы трубопровода
Несколько дней спустя глава Colonial Pipeline Джозеф Блаунт (Joseph Blount) официально подтвердил журналистам Wall Street Journal, что компания заплатила злоумышленникам 4,4 миллиона долларов США в биткойнах. По его словам, это было необходимо, чтобы как можно быстрее оправиться от атаки шифровальщика, которая оказала влияние на критически важную энергетическую инфраструктуру. Блаунт назвал выплату выкупа «правильным поступком», сделанным «ради страны».

«Я знаю, это весьма спорное решение. Мне было нелегко это сделать. Признаюсь, было некомфортно наблюдать за тем, как деньги уходят к подобным людям», — рассказал Блаунт, заявив, что выкуп был выплачен еще 7 мая.

В итоге компания действительно получила инструмент для дешифрования данных, однако он работал столь медленно, что специалисты компании были вынуждены продолжить ранее начатое восстановление систем из резервных копий.

DARKSIDE​

Почти сразу было известно, что за атакой на Colonial Pipeline стоят операторы шифровальщика DarkSide. Первым об этом сообщило издание Washington Post, и вскоре эту информацию официально подтвердило ФБР.

Группировка, создавшая малварь DarkSide, активна с августа 2020 года и работает по схеме «вымогатель как услуга» (Ransomware as a Service, RaaS), активно рекламируя малварь в даркнете и сотрудничая с другими хак‑группами. В итоге DarkSide представляет собой классического «охотника за крупной дичью», то есть преимущественно атакует крупные корпоративные сети, шифрует данные, а затем требует у пострадавших компаний огромные выкупы. Если жертвы отказываются платить, участники DarkSide публикуют похищенные у них данные на своем сайте в даркнете.

Согласно свежему отчету компании Elliptic, занимающейся блокчейн‑анализом, к настоящему моменту хакеры успели «заработать» на выкупах около 90 миллионов долларов.

«В общей сложности чуть более 90 миллионов долларов в биткойнах было выплачено DarkSide из 47 различных кошельков», — говорится в отчете компании.

Поскольку DarkSide работал по модели RaaS, разработчики шифровальщика оставляли себе около 25% выплаченных выкупов или 10%, если выкуп превышал 5 миллионов долларов. Поэтому в Elliptic полагают, что в действительности сами хакеры «заработали» около 15,5 миллиона долларов, а остальные средства остались в руках «партнеров» группировки (злоумышленников, которые взламывают сети жертв и разворачивают в них малварь).

Многие эксперты заявляли, что, атаковав Colonial Pipeline, хакеры зашли слишком далеко и теперь представляют большой интерес для правоохранительных органов США.

При этом президент США Джо Байден заявил на пресс‑конференции, что информации о причастности к этой атаке российского правительства нет, но, по данным спецслужб, участники хак‑группы могут находиться на территории России. Байден сообщал, что власти США намерены помешать работе хак‑группы, и для этого уже были проведены переговоры с Москвой.

ИСЧЕЗНОВЕНИЕ DARKSIDE​

Так как атака на Colonial Pipeline привлекла внимание экспертов, спецслужб и СМИ со всего мира, уже через несколько дней хакеры поспешили выпустить заявление. Тогда как в прессе данную атаку пытались приписать российским правительственным хакерам, в «пресс‑релизе», который был опубликован на сайте DarkSide 10 мая, говорилось, что группировка аполитична и преследует исключительно собственные цели. Также хакеры, похоже, были не рады тому, какой хаос спровоцировали их действия. Они пообещали впредь внимательнее проверять будущие цели:

«Мы аполитичны, не связаны с геополитикой, и не нужно связывать нас с определенными правительствами и искать другие мотивы. Наша цель — зарабатывать деньги, а не создавать проблемы для общества.

С сегодняшнего дня мы вводим модерацию и будем проверять каждую компанию, которую наши клиенты хотят зашифровать, чтобы избежать подобных социальных последствий в будущем».

14 мая 2021 года операторы DarkSide обнародовали еще одно сообщение, в котором заявили, что они утратили контроль над своими веб‑серверами и средствами, полученными в результате выплаты выкупов, и теперь прекращают работу.

«Несколько часов назад мы потеряли доступ к публичной части нашей инфраструктуры, а именно: к блогу, платежному серверу, серверам CDN. Теперь эти серверы недоступны через SSH, а панели хостинга заблокированы», — писал оператор DarkSide, известный как Darksupp, а также жаловался на то, что провайдер хостинга отказался помогать.

Кроме того, хакеры утверждали, что с сервера, где размещались полученные выкупы, была выведена криптовалюта. По словам Darksupp, эти средства группировка должна была разделить между собой и своими «партнерами», но деньги были переведены на неизвестный кошелек.

Журналисты издания The Record отмечали, что американские власти просто не успели бы предпринять никаких мер против хак‑группы так быстро и операторы DarkSide могли воспользоваться заявлениями президента Байдена в качестве прикрытия. То есть группировка сама заблокировала собственную инфраструктуру и скрылась с деньгами, не заплатив «партнерам» (классический exit scam).

Продолжение в следующем посте

 

[root]

РЕАКЦИЯ АНДЕГРАУНДА​

История со взломом Colonial Pipeline удостоилась внимания на самом высшем уровне, а излишне пристальное внимание властей не понравилось многим. Подобно взрывной волне, последствия этой атаки вскоре докатились до крупнейших хак‑форумов и операторов другой малвари.

Первой о грядущих переменах 14 мая объявила администрация популярного хакерского форума XSS (ранее DaMaGeLab): на сайте запретили рекламировать и продавать любые программы‑вымогатели. Хотя такие известные группировки, как REvil, LockBit, DarkSide, Netwalker, Nefilim, часто использовали форум для рекламы привлечения новых клиентов. Представитель XSS и вовсе писал, что слово «рансом» в наши дни стало слишком опасным и токсичным.

«Основная цель существования форума DaMaGeLab — это знания. Мы — технический форум, мы учимся, исследуем, делимся знаниями, пишем интересные статьи. Цель Ransomware — это только лишь заработок. Цели не совпадают. Нет, конечно же, деньги нужны всем, но не во вред основным стремлениям. Мы ведь не рынок и не маркет‑площадка.

Деградация налицо. Новички открывают СМИ, видят там какие‑то безумные виртуальные миллионы долларов, которых они никогда не получат. Ничего не хотят, ничему не учатся, ничего не кодят, даже просто не думают, вся суть бытия сводится к „зашифруй — получи $“», — писал администратор XSS в своем заявлении (полную версию послания можно увидеть ниже).

В итоге на XSS оказались запрещены вымогательские партнерские программы, аренда такой малвари и продажа локеров.

Вскоре после этого к запрету на вымогательское ПО присоединился еще один крупный хакерский форум, RAID. Если на XSS и Exploit размещали рекламу более крупные хак‑группы, то на RAID обычно рекламировались начинающие вымогатели.

Администрация еще одного известного форума, Exploit[.]in также объявила о том, что запрещает рекламу любых программ‑вымогателей. Админы объяснили это тем, что локеры «привлекают очень много внимания».

Происходящее не могло не отразиться и на хакерских группах. К примеру, сам «виновник торжества», шифровальщик DarkSide прекратил работу, как уже было упомянуто, а операторы REvil, одного из крупнейших шифровальщиков на рынке на данный момент, сообщили, что намерены перестать рекламировать свою RaaS-платформу и впредь будут работать только приватно, то есть с небольшой группой известных и доверенных лиц.

Также REvil планирует прекратить атаковать важные социальные секторы, включая здравоохранение, образование и правительственные сети любых стран мира, так как подобные атаки могут привлечь нежелательное внимание к работе группы. Если кто‑то из клиентов все же атакует «запрещенную» компанию или организацию, хакеры намерены предоставить жертвам бесплатный ключ дешифрования, а затем обещают прекратить работу с таким «партнером».

Вслед за REvil о практически аналогичных мерах и ограничениях объявили разработчики другого крупного вымогателя, Avaddon.

У мелких вымогательских группировок из‑за столь стремительных перемен возникли более серьезные проблемы. Так, ИБ‑исследователи заметили, что как минимум две хак‑группы, Ako (Razny) и Everest, похоже, вообще свернули свою деятельность.

НОВАЯ ВЕРСИЯ DARKSIDE​

Хотя представители DarkSide заявили, что все кончено, многие ИБ‑эксперты полагают, что на самом деле хакеры не собираются прекращать «работу». К примеру, всего неделю назад специалисты Fortinet FortiGuard Labs рассказали об обнаружении новой версии шифровальщика DarkSide. Хотя эта версия малвари появилась еще до объявления о прекращении деятельности, исследователи сочли ее крайне интересной.

Новый вариант способен обнаруживать и компрометировать жесткие диски, разбитые на разделы, и предполагается, что он обеспечивает более надежное шифрование файлов. Также малварь находит любые файлы резервных копий, оставленные администраторами в скрытых разделах, и уничтожает их. Две наиболее интересные особенности этого варианта вымогателя — использование Active Directory и внимание к разделам на жестких дисках.

Эксперты рассказывают, что сначала эта версия DarkSide ищет контроллеры домена, а затем пытается использовать их для анонимного подключения к Active Directory через LDAP с пустым паролем и пустым именем пользователя. В случае успеха малварь стремится зашифровать файлы в любых сетевых папках, которые может найти, но избегает общих папок с именами C$ и ADMIN$. Это общие административные ресурсы по умолчанию, которые должны быть доступны только администраторам и операторам резервного копирования.

«Вероятно, DarkSide избегает этих общих ресурсов на тот случай, если он запущен не в контексте администратора, тогда попытки получить доступ могут потенциально поднять тревогу», — поясняют исследователи.

Также новая версия малвари сканирует жесткий диск (на случай, если это multi-boot-система) и ищет дополнительные тома или разделы, чтобы зашифровать файлы и в них. Если у найденного раздела есть GUID, который соответствует результатам вызова DeviceloControl API, малварь пропускает раздел и переходит к следующему, ведь хакерам нужно, чтобы зараженные машины оставались хотя бы в полуисправном состоянии. Прочие разделы, прошедшие проверку, DarkSide пытается смонтировать с помощью API SetVolumeMountPointW, а затем тоже шифрует все файлы.

НЕДОВОЛЬНЫЕ «КЛИЕНТЫ»​

Когда операторы DarkSide неожиданно свернули все свои операции и ушли в тень, их «партнеры» остались без выплат, и теперь на хакерском форуме XSS идет несколько разбирательств: недополучившие деньги хакеры требуют, чтобы криповалютный депозит, ранее внесенный DarkSide, разделили между ними.

Подобные депозиты не редкость на хакерских ресурсах. Они играют роль страховки и гарантии, помогая избежать мошенничества в отношениях между продавцами и покупателями. Для операторов вымогательского ПО депозит и вовсе является своего рода подтверждением статуса и доказательством того, что они ведут «успешный бизнес». К примеру, в прошлом году операторы REvil поместили на хак‑форуме депозит в криптовалюте, эквивалентный одному миллиону долларов.

Чтобы завоевать доверие потенциальных партнеров, разработчики DarkSide внесли на XSS депозит в размере 22 биткойнов (около 860 тысяч долларов по текущему курсу). Кошелек, где хранятся эти средства, контролирует администрация сайта, который выступает гарантом и арбитром в случае возникновения споров.

Как теперь пишут ИБ‑исследователи, уже пять партнеров группировки пожаловались на то, что операторы DarkSide задолжали им деньги за уплаченный выкуп или услуги взлома.

• Первый партнер утверждает, что был «пентестером» и должен был получить 80% выкупа, оплаченного неназванной жертвой. Однако операторы DarkSide заявили, что у них больше нет доступа к средствам, то есть деньги получены не были, и теперь партнер требует использовать депозит группировки на XSS для получения своей доли.
• Второй партнер заявляет, что для него на партнерском портале уже были зарезервированы биткойны, но ему пришлось отвлечься на семейные обстоятельства, и получить деньги он не успел.
• Третий партнер тоже пишет, что был «пентестером» и добился выплаты выкупа прямо перед закрытием DarkSide. Он уверяет, что отправил все необходимые подтверждения администрации XSS.
• Четвертый партнер якобы работал над взломом компаний, но так и не получил платеж за свои услуги в размере 150 тысяч долларов.
• Пятый и последний партнер пишет, что не смог вовремя получить 72 тысячи долларов на партнерском портале по состоянию здоровья.

По первой претензии, поданной 14 мая, администратор XSS, выступающий в качестве арбитра, уже утвердил компенсацию и перечислил ее из депозита DarkSide. Также администрация форума просит других «пострадавших» дать о себе знать, если таковые имеются. Однако аналитики компании Emsisoft считают, что такие сообщения пишутся только ради того, чтобы создать путаницу. «Это сообщество киберпреступников, которым известно, что за их форумом внимательно наблюдают правоохранительные органы, ИБ‑компании и пресса [...] Просто пыль в глаза».

Мария Нефёдова
xakep.ru

 

[Частный детектив Донецк]

Как они все и вся взламывают?!

 

[Kiril Harchevnikov]

Спасибо что делаете посты про все кибер-новости

 

[David Mamedov]

По больше таких постов! Спасибо за пост!

 

[Частный детектив. Москва.]

Много из этой статьи , я впервые вижу. Спасибо!

 

[Частный детектив. Москва.]

По больше таких постов! Спасибо за пост!

По больше постов

 

[частный детектив. Узбекистан. Ташкент.]

по больше таких статей!

 

[Детективное агентство Израиль.]

Всегда люблю такие темы)

 

[seventeam]

Интересно было бы узнать по подробнее. Спасибо за пост!