Grupul care a atacat Colonial Pipeline: cu cât s-au îmbogățit hackerii în câteva luni

de: Cojocaru Cristian
19 05. 2021

O nouă cercetare arată câți bani a reușit să extragă grupul care a atacat Colonial Pipeline. O echipă de cercetători au afirmat că hackerii din cadrul Dark Side au reușit să strângă o mică avere în doar șapte luni.

DarkSide, care a anunțat recent că își va închide operațiunile și că se vor retrage, cel puțin pentru o perioadă, a funcționat mai puțin de un an. Potrivit cercetătorilor de la Elliptic, o companie de analiză blockchain specializată în urmărirea infractorilor cibernetici, au afirmat că hackerii au reușit să adune în doar șapte luni, peste 90 de milioane de dolari.

În calitate de operator Ransomware-as-a-Service, DarkSide a împrumutat malware-ul său către hackeri „afiliați”, care au efectuat apoi atacuri asupra țintelor și au negociat răscumpărări. Acest model de afaceri, conceput pentru a împărți profiturile între „proprietari și parteneri” de programe malware, a vizat cu succes zeci de victime, majoritatea „având sediul în Statele Unite”, scriu analiștii FireEye.

În fiecare caz, afiliații au primit o parte din banii de răscumpărare care au reprezentat un succes, în timp ce operatorii DarkSide au primit un procent mai mic. Elliptic a analizat recent portofelul virtual folosit de DarkSide în cazul răscumpărărilor. Acesta era utilizat din data de 4 martie și număra 57 de plăți de la 21 de portofele virtuale separate. Totalul a fost de 17,5 milioane de dolari.

Din această sumă fac parte și cei 5 milioane de dolari plătiți de către Colonial Pipeline, sumă plătită în bitcoin în schimbul unei chei de decriptare. De fapt, DarkSide și partenerii săi au operat o rețea de 47 de portofele diferite, fiecare fiind folosit pentru a colecta răscumpărări de la mai multe victime, a raportat Elliptic marți.

Hackerii au fost platiti cu 5 milioane de dolari de catre Colonial Pipeline pentru a obtine cheia de decriptare

Portofelele virtuale au fost utilizate pentru transferul banilor

Dacă în unele cazuri, banii au fost direcționați către schimburi în criptomonede, în alte cazuri au fost trimiși prin Hydra, o populară piață europeană DarkNet, care oferă ”servicii de retragere”, mai menționează cei de la Elliptic. În concluzie, afiliații au câștigat aproximativ 74,7 milioane de dolari din atacuri, în timp ce DarkSide. în calitate de dezvoltator, a câștigat aproximativ 15,5 milioane de dolari.

„Potrivit DarkTracer, 99 de organizații au fost infectate cu malware-ul DarkSide, sugerând că aproximativ 47% dintre victime au plătit o răscumpărare și că plata medie a fost de 1,9 milioane de dolari”, scrie Tom Robinson, cofondatorul Elliptic.

Grupul a anunțat brusc o retragere anticipată săptămâna trecută, susținând că o agenție de aplicare a legii a confiscat o parte din criptomoneda sa, în timp ce și-a dezactivat părți mari din infrastructură. DarkSide a susținut în continuare că își va închide programul „afiliat” și va intra în anonimat pentru moment.

„Au existat speculații cu privire la faptul că suma în bitcoin a fost confiscată de guvernul SUA, iar dacă este cazul, nu a confiscat majoritatea plății de răscumpărare a Colonial Pipeline. Majoritatea a fost mutată din portofel pe 9 mai”, a spus Robinson, de la Elliptic.

DarkSide și-au anunțat retragerea

Cercetătorii de la Intel471, firma de securitate care a identificat inițial presupusele „planuri de pensionare” ale DarkSide, au spus că este imposibil să se spună dacă grupul a suferit efectiv o confiscare a activelor sale sau dacă a încercat doar să-și înșele partenerii pentru a beneficia de o parte mai mare din ”pradă”.

Un analist din cadrul Intel471 a afirmat că atunci ”când forțele de ordine execută aceste acțiuni de ”eliminare”, este transmis un comunicat de presă sau o notă postată pe site-ul web care indică faptul că lucrările au fost finalizate de poliție”.

„În prezent, nu avem dovezi care să arate că portofelul a fost spart și nici ceva care să indice că forțele de ordine au fost implicate în eliminarea site-ului web sau acțiunea de portofel. Acești operatori de ransomware sunt criminali, așa că este greu de presupus că lucruile sunt așa cum au spus. Credem că anunțul DarkSide este menit să arate că operatorii își propun să fie mai puțin zgomotoși în ceea ce privește activitățile lor pentru a evita lumina reflectoarelor. „, a mai adăugat analistul.