Tvůrci ransomwaru DarkSide budou po útoku na Colonial Pipeline ověřovat cíle
Zpět na blogGang DarkSide zveřejnil nové oznámení, v němž uvedl, že je apolitický a že bude všechny cíle před útokem prověřovat. Minulý týden ransomwarový gang zašifroval síť Colonial Pipeline, největšího palivového potrubí ve Spojených státech.
V důsledku útoku společnost Colonial Pipeline odstavila svou síť a palivové potrubí, zatímco se zotavovala z kybernetického útoku. Vzhledem k tomu, že tento ropovod přepravuje 2,5 milionu barelů rafinovaného paliva denně a zajišťuje 45 % veškerého paliva spotřebovaného na východním pobřeží, vláda USA vyhlásila stav nouze pro 18 států, které incident zasáhl.
DarkSide bude nyní prověřovat cíle
Gang ransomwaru DarkSide vydal tiskové prohlášení, v němž uvedl, že organizace není spojena s žádnou vládou: „Jsme apolitičtí, neúčastníme se geopolitiky, nemusíte nás spojovat s definovanou vládou a hledat jiné naše motivy. Naším cílem je vydělávat peníze, a ne vytvářet problémy pro společnost. Ode dneška zavádíme umírněnost a kontrolujeme každou společnost, kterou chtějí naši partneři zašifrovat, abychom se v budoucnu vyhnuli společenským důsledkům.“
DarkSide je provozován jako Ransomware-as-a-Service (RaaS) a skládá se ze dvou skupin lidí. Jednu skupinu tvoří hlavní provozovatelé a vývojáři ransomwaru a druhou její „buňky“, které jsou najímány k hackování sítí a nasazování ransomwaru.
V rámci tohoto uspořádání vydělávají hlavní provozovatelé přibližně 20-30 % z každé platby výkupného a zbytek připadá buňce. Operace RaaS jsou obvykle volně přístupné, buňky mohou útočit, na koho chtějí, a hlavní provozovatelé pouze vyvíjejí ransomware, vyjednávají a přijímají platby výkupného.
Protože si hlavní tým DarkSide uvědomil, že si jedna z jejich buněk vybrala v případě Colonial Pipeline špatný cíl, bude nyní vyhodnocovat všechny cíle, než buňce dovolí provést útok.
Pokud je prohlášení pravdivé, mohla by to být dobrá zpráva pro kritickou infrastrukturu, zdravotnictví a vládní agentury, protože je pravděpodobné, že DarkSide v budoucnu tyto subjekty vynechá z útoků. Mohlo by to ale samozřejmě vést také k tomu, že buňky přejdou k jiným operátorům s menšími skrupulemi ohledně toho, na koho útočí.
Ransomware a charita
DarkSide si zakládá na profesionální a eticky vedených útocích a často má tendenci vydávat tisková prohlášení, která ne vždy dopadnou dobře. V říjnu 2020 organizace DarkSide oznámila, že věnovala 20 000 dolarů ze svých aktivit charitativním organizacím Children International a The Water Project. Protože však svou iniciativu veřejně oznámili, charitativní organizace prohlásily, že si dar nemohou ponechat.
„Jsme si vědomi této situace a interně ji zkoumáme. Pokud je dar spojen s nelegálními aktivitami, nemáme v úmyslu si ho ponechat,“ uvedla tehdy organizace Children International v prohlášení pro BleepingComputer.
V listopadu 2020 vydal gang další prohlášení, v němž uvedl, že vytváří „udržitelný“ systém pro ukládání uniklých dat umístěný na serverech v Íránu. Vzhledem k tomu, že Írán je na sankčním seznamu USA, způsobilo to, že firmy zabývající se vyjednáváním o výkupném, jako je Coveware, zařadily DarkSide na svůj blacklist a o výkupném s organizací nechtěly dál vyjednávat.
„Je pravděpodobné, že část výnosů z případné platby výkupného DarkSide by byla použita na zaplacení poskytovatelům služeb v Íránu. Proto jsme společnost DarkSide zařadili na náš blacklist,“ řekl BleepingComputeru generální ředitel společnosti Coveware Bill Siegel.
DarkSide nakonec musel svá prohlášení o spolupráci s hostingovou službou v Íránu odvolat z obav, že přijde o platby výkupného.
S Colonial Pipeline však zašla organizace DarkSide příliš daleko a nyní je v hledáčku amerických orgánů činných v trestním řízení. Nebylo by překvapením, kdyby organizace DarkSide poskytla dešifrovací klíče Colonial Pipeline zdarma a jako gesto dobré vůle data uvolnila.
Zdroj: BleepingComputer
14. 5. 2021