Согласно сообщениям газеты Washington Post, 10 мая нынешнего года Федеральное бюро расследований (ФБР) США заявило, что «виновные в атаке вирусов-вымогателей на топливный трубопровод Colonial Pipeline, осуществленной 7 мая, имеют отношение к Российской Федерации. Это установленная хакерская группа DarkSide которая осуществила кибератаку на Colonial Pipeline с помощью вредоносного кода, в результате чего были отключены основные операционные системы трубопровода. Это самая масштабная кибератака на критические инфраструктурные объекты США». Топливный трубопровод Colonial Pipeline поставляет широкую гамму нефтепродуктов, таких как бензин, дизельное топливо, авиационное топливо и мазут для 45% потребителей восточного побережья Соединенных Штатов, в т.ч. и для американских вооруженных сил

Нынешняя кибератака называется атакой RansomeWare, и в ней с используются «вирусы-вымогатели». Это тот метод, в котором преуспели хакерские группы Северной Кореи. Программа-вымогатель — это название, созданное путем объединения слов «Выкуп» (Ransom) и «Программное обеспечение» (Ware), и представляет собой разновидность компьютерного вируса, запускаемого на цель для получения денег. Вирус произвольно шифрует данные, хранящиеся на зараженном компе, делая их непригодными для использования владельцем. Затем владельца шантажируют, показывая на экране персонального компьютера объявление с требованием выкупа за снятие помех.

На начальном этапе атаки типа RansomeWare представляли компьютерные нападения на обычных пользователей и сопровождались требованиями относительно небольших выкупов. В то время многие пользователи платили по требованию за восстановление своих зашифрованных и непригодных для использования программ. Это еще не был денежный кибертерроризм. Примерно с 2015 года целями атак стали крупные компании, которым начали предъявляться требования на крупные выкупы, а в 2017 году с помощью разновидности «программы-вымогателя» под названием WannaCry были атакованы многие частные компании и даже государственные учреждения, так что это уже стало большой угрозой для США.

Что такое хакерская группа DarkSide?

DarkSide известна как относительно новая хакерская группа, которая с августа 2020 года взламывает сети американских и европейский компаний, используя атаки вредоносных вирусов-вымогателей. DarkSide разрабатывает передовые вредоносные программы и инновационные методы атак, а также проводит крупномасштабные кибератаки на глобальные организации и правительства, включая нарушения данных, кражу информации, создание препятствий на выборах и многие другие злонамеренные инциденты. DarkSide находится под сильным влиянием «русского национализма», и российское правительство, используя киберпреступления, организуемые этой хакерской группой, проводит кибератаки на Соединенные Штаты, Европу и т.д. (Поговаривают о том, что в этом также участвует разведывательная служба Российской Федерации СВР).

Атаки DarkSide с помощью вирусов-вымогателей не только произвольно шифруют и блокируют данные пользователя, но и осуществляет в отношении своей цели «двойную угрозу», угрожая раскрыть ее чувствительную конфиденциальную информация в том случае, если выкуп не будет уплачен. Другими словами, на час кибератаки конфиденциальная информация компании-жертвы уже, как правило, оказывается украденной, и в случае отказа в выплате выкупа существует угроза публикации данных компании на специально создающихся для этого сайтах. DarkSide перед этим обычно требовала выкупы в размере от 200 000 до 2 миллионов уе, но в случае с топливопроводом Colonial Pipeline она потребовала огромный выкуп в размере 5 миллионов уе.

Обобщая информацию фирмы Kaspersky, занимающейся кибербезопасностью, и прочих таких компаний, можно отметить то обстоятельство, что DarkSide избегает атак на сайты, написанные на русском, украинском, грузинском и белорусском языках. DarkSide использует профессиональный веб-сайт, и описывает себя в пресс-релизах как «бизнес-предприятие». По ее утверждениям, ее деятельность не нацелена на больницы, хосписы, школы, университеты, некоммерческие организации или государственный сектор. Группа также заявляет о том, что пожертвовала часть своих преступных доходов на благотворительность и пытается создать о себе у публики представление как о некоем «Робин Гуде»«.

Кроме того, эксперты указывают, что RansomWare, используемый группой DarkSide, похож на «вымогательское» программное обеспечение, используемое другой хакерской группой «REvil», а почерк шагов DarkSide, очень близок к почерку REvil. Кстати, 11 мая 2020 года группа REvil провела хакерскую атаку на крупнейшую юридическую фирму в сфере развлечений Grabman Shah Mesirus & Sax, в ходе которой похитила сведения о контрактах, конфиденциальных соглашениях, номерах телефонов и адресах электронной почты, тексты протоколов судебных заседаний и личные сообщения сотрудников.

Борьба с российскими хакерскими группами вокруг Олимпиады в Токио

В 2020 году российские кибератаки характеризовались особой активностью, и, как рассказывается, в них начали участвовать российские спецслужбы ФСБ (Федеральная служба безопасности), СВР (Служба внешней разведки Российской Федерации) и ГРУ (Главное разведывательное управление российского Генерального штаба). (Теперь — Главное Управление — прим.ред.). Хакерские группы APT28 и APT29 начали кибератаки на больницы, фармацевтические компании, фармацевтические лаборатории и т.д. с целью кражи информации об антиковидных вакцинах.

Более того, DarkSide, атаковавшая топливопровод Colonial Pipeline в США, 14 мая нынешнего года…