DarkSide
DarkSide — это англоязычное название хакерской группировки, специализирующейся на атаках с использованием программ-вымогателей (ransomware) по модели «вымогательство как услуга» (Ransomware-as-a-Service, RaaS). Группировка действовала преимущественно в 2020—2021 годах и получила широкую известность после атаки на оператора трубопровода Colonial Pipeline в США в мае 2021 года, что привело к временной остановке поставок топлива на восточное побережье страны.
История
Возникновение и ранняя деятельность
Первые упоминания о группировке DarkSide относятся к августу 2020 года, когда на русскоязычных хакерских форумах появились объявления о наборе партнёров для распространения вредоносного ПО. Создатели DarkSide позиционировали себя как «профессиональную» организацию, действующую исключительно из финансовых соображений и избегающую атак на объекты здравоохранения, образования и государственные учреждения стран СНГ. В отличие от многих других групп-вымогателей, DarkSide сразу внедрила практику двойного вымогательства: шифрование данных с требованием выкупа за ключ дешифровки и угроза публикации украденной конфиденциальной информации в случае отказа от уплаты.
Первые атаки DarkSide были зафиксированы в октябре 2020 года. Жертвами становились преимущественно средние и крупные компании в США, Канаде и странах Западной Европы. Среди ранних целей — нефтехимические предприятия, логистические компании и производители промышленного оборудования. Группировка требовала выкуп в биткоинах, суммы варьировались от 200 000 до 2 миллионов долларов США.
Атака на Colonial Pipeline
Наиболее резонансным инцидентом, связанным с DarkSide, стала атака на Colonial Pipeline 7 мая 2021 года. Colonial Pipeline — крупнейший оператор трубопроводов для нефтепродуктов в США, обеспечивающий около 45 % топлива на восточном побережье страны. Хакеры проникли в сеть компании через скомпрометированный пароль от учётной записи VPN, которая не была защищена многофакторной аутентификацией. В результате атаки Colonial Pipeline была вынуждена остановить работу трубопровода на шесть дней.
Атака вызвала панику среди потребителей и привела к массовым закупкам топлива, дефициту бензина в нескольких штатах и временному росту цен. Президент США Джо Байден объявил режим чрезвычайной ситуации. Colonial Pipeline выплатила выкуп в размере 4,4 миллиона долларов США (около 75 биткоинов), однако часть средств впоследствии была возвращена Министерством юстиции США после изъятия криптовалютного кошелька группировки.
Ликвидация инфраструктуры
После атаки на Colonial Pipeline давление на DarkSide со стороны правоохранительных органов США и других стран резко возросло. 13 мая 2021 года группировка объявила о закрытии своей инфраструктуры, сославшись на потерю доступа к серверам и кошелькам. Однако уже через несколько недель бывшие участники DarkSide, по данным аналитиков, перешли под бренд BlackMatter — новую группировку, использовавшую схожие инструменты и методы. В ноябре 2021 года BlackMatter также прекратила деятельность после серии арестов и конфискаций.
Классификация и модель RaaS
DarkSide действовала по модели RaaS, при которой разработчики вредоносного ПО предоставляют доступ к нему партнёрам-аффилиатам за процент от выкупа. Типичная схема включала:
- Разработчики — создавали и обновляли код вымогателя, поддерживали инфраструктуру управления.
- Аффилиаты — занимались проникновением в сети жертв, распространением вредоносного ПО и переговорами о выкупе.
- Доля дохода — разработчики получали 20–25 % от суммы выкупа, аффилиаты — 75–80 %.
Группировка вела собственный «блог утечек» в даркнете (DarkSide Leaks), где публиковала данные компаний, отказавшихся платить выкуп. Это усиливало давление на жертв и служило рекламой для потенциальных партнёров.
Устройство и характеристики вредоносного ПО
Технические особенности
Вредоносное ПО DarkSide (исполняемый файл, обычно в формате EXE) было написано на языке C++ и распространялось через фишинговые письма, эксплойты уязвимостей в удалённом доступе (RDP) и скомпрометированные учётные записи. Ключевые характеристики:
- Шифрование — использовался гибридный алгоритм: файлы шифровались симметричным шифром Salsa20, а ключ шифрования — асимметричным RSA-1024. Это делало расшифровку без ключа практически невозможной.
- Обход защиты — программа завершала процессы баз данных, резервного копирования и антивирусного ПО, а также удаляла теневые копии томов (VSS) для предотвращения восстановления.
- Сетевое распространение — после заражения одной машины DarkSide сканировал локальную сеть и пытался распространиться на другие устройства через уязвимости и общие папки.
- Таймер — программа устанавливала обратный отсчёт (обычно 72 часа), после которого сумма выкупа удваивалась или данные публиковались.
Инструменты управления
Для координации атак и управления ботами DarkSide использовала инфраструктуру на базе серверов в странах с мягким законодательством (например, в России и Украине). Связь с командными серверами (C2) осуществлялась через протокол HTTPS с использованием динамических доменов. Для сокрытия трафика применялись VPN-сервисы и сеть Tor.
Применение и цели
Основной целью DarkSide были финансово мотивированные атаки на коммерческие организации. Группировка целенаправленно избегала:
- государственных учреждений и военных объектов;
- больниц и клиник (за исключением случаев, когда атака происходила по ошибке);
- образовательных учреждений;
- компаний, зарегистрированных в странах СНГ.
Список исключений был опубликован в официальном «кодексе поведения» DarkSide на хакерских форумах. Нарушение этого кодекса партнёрами грозило исключением из программы. Однако на практике атаки на медицинские учреждения всё же фиксировались — например, в марте 2021 года была атакована больница в штате Техас.
Критика и последствия
Деятельность DarkSide вызвала широкую критику со стороны правительств, правоохранительных органов и экспертов по кибербезопасности. Основные претензии:
- Экономический ущерб — атаки приводили к остановке производства, потере данных и многомиллионным убыткам. По оценкам ФБР, только в 2020–2021 годах жертвы DarkSide выплатили выкупов на сумму свыше 90 миллионов долларов.
- Угроза критической инфраструктуре — атака на Colonial Pipeline показала уязвимость энергетического сектора США и вызвала дебаты о необходимости усиления киберзащиты.
- Юридическая неопределённость — модель RaaS и использование серверов в разных юрисдикциях затрудняли привлечение участников к ответственности.
В ответ на атаку Colonial Pipeline администрация Байдена выпустила исполнительный указ об улучшении кибербезопасности федеральных сетей и усилила давление на страны, укрывающие хакеров. В июне 2021 года Министерство юстиции США создало Целевую группу по борьбе с вымогательством (Ransomware Task Force). Также были введены санкции против криптовалютных бирж, используемых для отмывания выкупов.
Интересные факты
- Название «DarkSide» не связано с одноимённым альбомом группы Pink Floyd, а является отсылкой к «тёмной стороне» интернета.
- В феврале 2021 года DarkSide опубликовала заявление, в котором пообещала пожертвовать часть выкупов на благотворительность — в качестве доказательства «моральных принципов». Однако реальных подтверждений таких пожертвований не обнаружено.
- После ликвидации DarkSide часть её кода была использована другими группировками, включая BlackMatter и REvil (организация признана нежелательной в РФ? — статус не присвоен, но деятельность преследуется).
- В 2022 году аналитики компании Mandiant обнаружили, что инфраструктура DarkSide была частично восстановлена под новым брендом «BlackCat» (ALPHV), который продолжает атаки по схожей схеме.
Источники
- Отчёт ФБР «DarkSide Ransomware Indicators of Compromise» (2021).
- Анализ компании FireEye (Mandiant) «DarkSide: A Ransomware Group with a Code of Conduct» (2021).
- Публикация Министерства юстиции США «Justice Department Seizes $2.3 Million in Cryptocurrency Paid to Ransomware Extortionists» (2021).
- Статья в журнале «The Record» (2021) о закрытии DarkSide.
- Материалы расследования Colonial Pipeline, опубликованные Управлением по кибербезопасности и защите инфраструктуры США (CISA).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →