Разделы

Безопасность Финансовые результаты

Парализовавшие американский нефтепровод хакеры заработали на вымогательстве $90 млн за 9 месяцев. Но почти все деньги от них ушли

Партнёры шифровальной группировки DarkSide атаковали десятки крупных компаний. Хотя общая сумма выкупа от жертв шифрования составила $90 млн, сама группировка заработала лишь около $15 млн, а большую часть выручки получили ее партнёры

Партнерский бизнес DarkSide

Фирма Elliptic, специализирующаяся на анализе блокчейн-транзакций, установила, что шифровальная группировка DarkSide вместе со своими партнёрами заработала около $90 млн всего за девять месяцев.

Группировка DarkSide получила широкую известность после атаки в начале мая 2021 г. на крупный американский нефтепровод Colonial Pipeline.

В результате атаки был заблокирован доступ к ИТ-системам компании и зашифрованы ее данные. Были отключены четыре главные нефтепроводные линии компании протяженностью более восьми тысяч километров, по которым поставлялось горючее от Техаса до Нью-Йорка, что привело к скачку мировых цен на нефть.

Шифровальное ПО, разработанное группировкой DarkSide, предлагается ее партнерам по модели RaaS (шифровальщик как услуга). Непосредственными атаками занимаются участники партнёрских программ, в то время как создатели шифровального сервиса берут себе определённую комиссию от каждого заплаченного выкупа.

vyshka600.jpg
Шифровальная группировка DarkSide дала возможность своим партнерам собрать с жертв $90 млн выкупа, а сама удовлетворилась $15 млн комиссионных

По данным Elliptic, с октября 2020 г. на криптокошельки DarkSide переводились средства с 47 разных кошельков на общую сумму свыше $90 млн (в пересчёте на биткоины).

10% этих средств поступили всего лишь от двух организаций - трубопровода Colonial Pipeline и немецкого поставщика химических реагентов Brenntag.

По подсчётам Elliptic, средняя сумма выкупа за расшифровку атакованных данных, выплачиваемого жертвами, составила $1,9 млн. С Colonial и Brenntag злоумышленники получили $5 млн и $4,4 млн соответственно.

В свою очередь, фирма DarkTracer, специализирующаяся на исследованиях даркнета, утверждает, что от DarkSide пострадали как минимум 99 организаций, а компания eSentire насчитала, что на сайте DarkSide, где публиковались украденные у жертв данные, представлены «утечки» из 59 организаций. Таким образом жертв может быть существенно больше, чем кошельков, с которых переводились «выкупные» биткоины.

Большую часть денег забрали партнёры

Доходы непосредственных создателей шифровальшика составили около $17,5 млн. Большую часть доходов получают участники партнёрской программы DarkSide.

Сергей Трандин, «Базальт СПО»: Выбор заказчиками ОС со сертификатом ФСТЭК — тенденция, которая будет развиваться и дальше
Маркет

Комиссия DarkSide составляла от 10 до 25%, в зависимости от размеров полученного выкупа. При сумме выкупа меньше $500 тыс., операторам DarkSide отчислялись комиссионные около 25%. За выкуп в размере более $5 млн комиссия урезалась до 10%.

По данным экспертов Elliptic, 18% полученных средств направлялись на разменные серверы, а ещё 4% - на счета крупного рынка в даркнете, оказывающего, в том числе, услуги обналичивания.

С $90 млн выручки DarkSide оказывается среди наиболее прибыльных вымогательских группировок последнего времени.

Бесплатная российская замена Active Directory упрощает переход на отечественное ПО
Безопасность

Так, группировка Ryuk за время своей активности принесла своим операторам и их партнёрам около $150 млн; группировка GandCrab за полтора года «заработала» около $150 млн; REvil - более $100 млн за год, Maze/Egregor - более $63 млн (за период между августом 2020 г. и январём 2021 г.), Netwalker - $25 млн за пять месяцев, Qlocker - $260 тыс. за пять дней.

«Воспользоваться выручкой для киберпреступников будет не так просто, - указывает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. - Криптовалютные транзакции вполне возможно отследить; чтобы этого не произошло, криптовалютные активы придётся прогонять через большое количество «миксеров», сервисов, небезвозмездно обеспечивающих дополнительную анонимизацию, а также обращаться за услугами по конвертации криптовалют в обычные деньги. В любом случае, придётся потратить немало усилий и расстаться с частью прибытка».

Сейчас операция DarkSide предположительно свёрнута - возможно, в результате «карательной операции» со стороны правоохранительных органов США, заблокировавших инфраструктуру шифровальщиков. Средства, остававшиеся в криптокошельках группировки выведены на сторонний адрес. Не исключено, что операторы DarkSide, почувствовав серьёзную угрозу, просто решили скрыться - в том числе с деньгами партнёров.

Роман Георгиев