Поделиться
Парализовавшие американский нефтепровод хакеры заработали на вымогательстве $90 млн за 9 месяцев. Но почти все деньги от них ушли
Партнёры шифровальной группировки DarkSide атаковали десятки крупных компаний. Хотя общая сумма выкупа от жертв шифрования составила $90 млн, сама группировка заработала лишь около $15 млн, а большую часть выручки получили ее партнёры
Партнерский бизнес DarkSide
Фирма Elliptic, специализирующаяся на анализе блокчейн-транзакций, установила, что шифровальная группировка DarkSide вместе со своими партнёрами заработала около $90 млн всего за девять месяцев.
Группировка DarkSide получила широкую известность после атаки в начале мая 2021 г. на крупный американский нефтепровод Colonial Pipeline.
В результате атаки был заблокирован доступ к ИТ-системам компании и зашифрованы ее данные. Были отключены четыре главные нефтепроводные линии компании протяженностью более восьми тысяч километров, по которым поставлялось горючее от Техаса до Нью-Йорка, что привело к скачку мировых цен на нефть.
Шифровальное ПО, разработанное группировкой DarkSide, предлагается ее партнерам по модели RaaS (шифровальщик как услуга). Непосредственными атаками занимаются участники партнёрских программ, в то время как создатели шифровального сервиса берут себе определённую комиссию от каждого заплаченного выкупа.
По данным Elliptic, с октября 2020 г. на криптокошельки DarkSide переводились средства с 47 разных кошельков на общую сумму свыше $90 млн (в пересчёте на биткоины).
10% этих средств поступили всего лишь от двух организаций - трубопровода Colonial Pipeline и немецкого поставщика химических реагентов Brenntag.
По подсчётам Elliptic, средняя сумма выкупа за расшифровку атакованных данных, выплачиваемого жертвами, составила $1,9 млн. С Colonial и Brenntag злоумышленники получили $5 млн и $4,4 млн соответственно.
В свою очередь, фирма DarkTracer, специализирующаяся на исследованиях даркнета, утверждает, что от DarkSide пострадали как минимум 99 организаций, а компания eSentire насчитала, что на сайте DarkSide, где публиковались украденные у жертв данные, представлены «утечки» из 59 организаций. Таким образом жертв может быть существенно больше, чем кошельков, с которых переводились «выкупные» биткоины.
Большую часть денег забрали партнёры
Доходы непосредственных создателей шифровальшика составили около $17,5 млн. Большую часть доходов получают участники партнёрской программы DarkSide.
Комиссия DarkSide составляла от 10 до 25%, в зависимости от размеров полученного выкупа. При сумме выкупа меньше $500 тыс., операторам DarkSide отчислялись комиссионные около 25%. За выкуп в размере более $5 млн комиссия урезалась до 10%.
По данным экспертов Elliptic, 18% полученных средств направлялись на разменные серверы, а ещё 4% - на счета крупного рынка в даркнете, оказывающего, в том числе, услуги обналичивания.
С $90 млн выручки DarkSide оказывается среди наиболее прибыльных вымогательских группировок последнего времени.
Так, группировка Ryuk за время своей активности принесла своим операторам и их партнёрам около $150 млн; группировка GandCrab за полтора года «заработала» около $150 млн; REvil - более $100 млн за год, Maze/Egregor - более $63 млн (за период между августом 2020 г. и январём 2021 г.), Netwalker - $25 млн за пять месяцев, Qlocker - $260 тыс. за пять дней.
«Воспользоваться выручкой для киберпреступников будет не так просто, - указывает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. - Криптовалютные транзакции вполне возможно отследить; чтобы этого не произошло, криптовалютные активы придётся прогонять через большое количество «миксеров», сервисов, небезвозмездно обеспечивающих дополнительную анонимизацию, а также обращаться за услугами по конвертации криптовалют в обычные деньги. В любом случае, придётся потратить немало усилий и расстаться с частью прибытка».
Сейчас операция DarkSide предположительно свёрнута - возможно, в результате «карательной операции» со стороны правоохранительных органов США, заблокировавших инфраструктуру шифровальщиков. Средства, остававшиеся в криптокошельках группировки выведены на сторонний адрес. Не исключено, что операторы DarkSide, почувствовав серьёзную угрозу, просто решили скрыться - в том числе с деньгами партнёров.
Короткая ссылка
