СМИ: за атакой на топливную компанию США могут стоять хакеры из России

За атакой на крупнейшую трубопроводную компанию в США Colonial Pipeline может стоять якобы российская преступная группа DarkSide. Об этом сообщает NBC News со ссылкой на два источника.

Собеседники телеканала заявили, что кибератака с использованием вирусов-вымогателей случилась не со стороны государства, ее в рамках «преступной схемы» осуществили хакеры.

По словам министра торговли США Джины Раймондо, власти страны собираются поддержать топливного оператора и помочь перезапустить сеть, протяженность которой составляет 5500 миль.

В компании сообщили, что основные линии находятся в нерабочем состоянии, однако были введены в эксплуатацию несколько ответвлений.

Ранее работа крупнейшего нефтепровода США была приостановлена из-за кибератаки.


P.S. NBC News: "... If the culprit turns out to be a Russian criminal group, it will underscore that Russia gives free rein to criminal hackers who target the West, said Dmitri Alperovitch, a co-founder of the cyber company CrowdStrike who is executive chairman of the Silverado Policy Accelerator, a think tank.

"Whether they work for the state or not is increasingly irrelevant, given Russia's obvious policy of harboring and tolerating cybercrime," he said.

According to a top Reuters cybersecurity reporter, DarkSide has its own website on the dark web that features an array of leaked data from victims who it claims failed to pay ransom. It claims that the group has made millions from cyber extortion".

https://www.gazeta.ru/tech/news/2021/05/10/n_15959474.shtml

https://www.nbcnews.com/politics/na...-colonial-pipeline-ransomware-attack-n1266793​

 

ФБР таки настаивает:

 

Остановленная 7 мая из-за атаки хакерской группы DarkSide одна из крупнейших в США систем нефтепродуктопроводов Colonial Pipeline так и не восстановила работу. В 19 штатах объявлен режим чрезвычайной ситуации. Стоимость нефти отреагировала коротким взлетом, вернувшись вечером 10 мая к уровню до остановки. Но эксперты называют происходящее крупнейшей в истории кибератакой на энергетическую инфраструктуру, которая может повлиять и на мировой рынок нефти, и на политику всей отрасли в области безопасности. Причем, хотя многие видят в DarkSide «восточноевропейский» или даже «российский» след, Вашингтон пока занял нейтральную позицию, не обвиняя Москву.

Подробнее:
https://www.kommersant.ru/doc/4802807?from=main_1

 

Bloomberg: Colonial Pipeline заплатила взломавшим ее хакерам почти $5 млн выкупа
Получив средства, хакеры передали Colonial Pipeline ключ для расшифровки данных, чтобы восстановить нарушенную работу систем.
____
https://tass.ru/ekonomika/11367429

 

Касперская не исключила участия хакеров из ЦРУ в атаке на Colonial Pipeline

В атаке на крупнейшую трубопроводную компанию США Colonial Pipeline могли участвовать хакеры из ЦРУ, заявила президент компании Info Watch Наталья Касперская.
Касперская пояснила, что обычно «установить происхождение» хакера «практически невозможно», если он сам «не захочет оставить о себе какую-то информацию». Касперская напомнила, что WikiLeaks в 2017 году сообщила о подразделении ЦРУ UMBRAGE, которое занимается мимикрией под различные виды мировых хакерских групп, в частности, из России, Северной Кореи, Китая, Ирана. В связи с этим, по ее мнению, нельзя сказать с уверенностью, что атаку на Colonial Pipeline «произвела хакерская группа из России, или это не было спровоцировано ими самими там, или это не было сделано из какой-то другой страны», передает РИА «Новости».

В атаке на Colonial Pipeline заподозрили группировку хакеров DarkSide. По версии Bloomberg, DarkSide, организованная летом 2020 года, может быть связана как с Россией, так и со странами Восточной Европы. Байден признал отсутствие данных о причастности России к кибератаке на Colonial Pipeline. При этом он выступил с утверждением, что вирус-вымогатель якобы находится в России, и на российской стороне «лежит определенная ответственность за то, чтобы разобраться с этим».

https://yandex.ru/turbo/vz.ru/s/news/2021/5/14/1099103.html

 

Т.е. ЦРУ закриптовало крупнейший трубопровод своей страны, остановило его работу на неделю с ЧС в 19 штатах, а потом ещё и получило с него 5 лямов $.
Очень правдоподобно

 

Toshiba подверглась кибератаке хакерами, взломавшими Colonial Pipeline

Европейское подразделение японской компании Toshiba подверглась кибератаке со стороны группировки DarkSide, которую называют виновником атаки на американскую Colonial Pipeline, сообщает телесеть NHK.

Toshiba заявила, что проведет расследование инцидента.

До этого в Colonial Pipeline объявили, что кибератака на ее системы производилась с применением вируса-вымогателя. Данный вирус при проникновении в компьютерную систему временно блокирует ее работу. Затем программа мошенников зашифровывает данные и требует перевести деньги на счет хакеров. По информации американских изданий, злоумышленники смогли украсть до 100 Гб данных компании.

https://www.gazeta.ru/tech/news/2021/05/14/n_15976076.shtml​

 

Ждём авторитетного комментария от Наташи Кашмарской (нет)

 

WSJ узнала о самороспуске атаковавших Colonial Pipeline хакерской группы

Группа хакеров DarkSide, которая, по версии властей США, совершила атаку на систему крупнейшей американской трубопроводной компании Colonial Pipeline, прекращает свою деятельность. Об этом в пятницу сообщила газета The Wall Street Journal со ссылкой на специализирующиеся на компьютерной безопасности американские компании FireEye и Intel 471.

По ее данным, о своем роспуске хакерская группа сообщила своим сообщникам. Как отмечает издание, она сослалась на растущее давление со стороны правоохранительных органов Соединенных Штатов, а также на потерю доступа к инфраструктуре, которую DarkSide использовала для проведения атак.

В статье говорится, что подобные объединения после ликвидации часто воссоединяются и формируют новую группу под другим названием.

По информации другой компании в сфере кибербезопасности, Recorded Future, DarkSide осталась без доступа к некоторым своим серверам. По информации компании, взломщики также потеряли часть денег, которые были получены ими в результате кибератак.

https://www.gazeta.ru/tech/news/2021/05/14/n_15979700.shtml​

 

Сообщается, что серверы вымогателей DarkSide захвачены, работа прекращена

Операция вымогателя DarkSide якобы прекратилась после того, как злоумышленники потеряли доступ к серверам, а их криптовалюта была переведена на неизвестный кошелек.

Этой новостью поделился злоумышленник, известный как UNKN, публичный представитель конкурирующей банды вымогателей REvil, в сообщении на форуме, которое впервые обнаружил исследователь Recorded Future Дмитрий Смилянец на форуме взлома Exploit.

В этом посте Unkn поделился сообщением, предположительно от DarkSide, в котором объясняется, как злоумышленники потеряли доступ к своему общедоступному сайту утечки данных, серверам платежей и серверам CDN из-за действий правоохранительных органов.

«Начиная с первой версии, мы обещали честно и открыто говорить о проблемах. Несколько часов назад мы потеряли доступ к публичной части нашей инфраструктуры, а именно: Блог, Платежный сервер, серверы DOS», - говорится в сообщении форума от UNKN. . «Сейчас эти серверы недоступны по SSH, панели хостинга заблокированы.

Поддержка хостинга, кроме информации« по запросу правоохранительных органов », не предоставляет никакой другой информации».


Эта новость появилась на следующий день после того, как президент Байден заявил на пресс-конференции в Белом доме, что страны, укрывающие сети программ-вымогателей, должны принять меры, чтобы закрыть их.

«Мы не верим - я подчеркиваю, мы не верим, что российское правительство было причастно к этой атаке. Но у нас есть веские основания полагать, что преступники, совершившие нападение, проживают в России. Вот откуда это произошло - действия были из России," - сказал Байден на пресс-конференции о нападении на колониальный трубопровод.

«Мы напрямую общались с Москвой о том, что ответственные страны должны принять решительные меры против этих сетей-вымогателей».

Со вчерашнего дня исследователи безопасности и журналисты отметили, что сайт утечки данных DarkSide больше не доступен, и предполагалось, что правоохранительные органы захватили сервер.


Однако BleepingComputer подтвердил, что на момент написания этой статьи платежный сервер DarkSide Tor все еще работает. Если правоохранительные органы захватят сервер, они могли бы оставить его работающим, чтобы позволить жертвам получить доступ к своим дешифраторам.


Почувствовав напор со стороны правоохранительных органов, предположительно, что банда вымогателей DarkSide может использовать мошенническую схему с роспуском.

Получив на этой неделе выкуп в размере 9,4 миллиона долларов от Brenntag и Colonial Pipeline, они, возможно, прячут деньги, поэтому не нужно им платить за расшифровку данных, обвиняя в потере информации операцию правоохранительных органов.

DarkSide закрывает партнерскую программу

После того, как мы опубликовали нашу историю, Intel471 получил доступ к полному тексту сообщения, отправленного филиалам программы-вымогателя DarkSide как услуги.

Согласно этому сообщению, DarkSide решили закрыть свою деятельность «из-за давления со стороны США» и после потери доступа к своим публичным серверам.

Полное переведенное сообщение, полученное Intel471, приведено ниже:


Интересным моментом в этом сообщении является то, что аффилированным лицам будут предоставлены дешифраторы для своих жертв. Эти дешифраторы позволят аффилированным лицам вымогать у этих жертв самостоятельно, без какой-либо связи с DarkSide.

Программа-вымогатель REvil добавляет новые ограничения

Исторически сложилось так, что банда вымогателей REvil не проявляла угрызений совести в отношении того, кого они атакуют.

Однако после того, как DarkSide сообщил об уничтожении, REvil теперь начал вводить новые ограничения на то, кто может быть зашифрован.

Представитель REvil, UNKN, заявляет, что теперь филиалы должны сначала получить разрешение на таргетинг на организацию и что они больше не могут нацеливаться на следующие организации:
1. Запрещается работа в социальной сфере (здравоохранение, учебные заведения);
2. Запрещается работать в гос-секторе (государстве) любой страны;
Операции «программа-вымогатель как услуга» (RaaS) исторически выполнялись бесплатно для всех, когда аффилированные лица шифруют любую жертву, которую они хотят, без получения предварительного разрешения.

Будет интересно посмотреть, приведут ли эти новые правила аффилированные лица к другим операциям RaaS с меньшими ограничениями.

Источник: https://www.bleepingcomputer.com/ne...rvers-reportedly-seized-operation-shuts-down/

 

ахереть...теперь и вымогатели модерируют

 

Минюст США вернул $2,3 млн в криптовалюте, выплаченные вымогателям Darkside


Министерство юстиции США сообщило о конфискации 63,7 биткойнов (примерно $2,3 млн), которые топливный гигант Colonial Pipeline выплатил операторам вымогательского ПО DarkSide.

«Выплаты выкупа — топливо, которое приводит в движение двигатель цифрового вымогательства. США будут использовать все доступные инструменты, чтобы сделать подобные атаки более дорогостоящими и менее прибыльными для криминальных группировок», — объявила заместитель генпрокурора США Лиза О. Монако (Lisa O. Monaco).

Напомним, 7 мая нынешнего года американская топливная компания Colonial Pipeline стала жертвой кибератаки с использованием вымогательского ПО. В результате инцидента компании пришлось отключить некоторые системы и остановить все операции, связанные с трубопроводом. Через несколько часов после атаки Colonial Pipeline приняла решение заплатить хакерам около $4,4 млн в криптовалюте.

Сотрудники правоохранительных органов отследили несколько переводов биткойнов и установили электронный адрес, на который было переведено примерно 63,7 биткойна. С помощью специального «ключа» специалисты ФБР смогли получить доступ к активам преступников.

https://www.securitylab.ru/news/520975.php

 

А вот с этого места поподробнее

 

Ну в официальном заявление прокурора/следователя, которое там прикреплено ("Darkside Affidavit"), стоит в абзаце 34 что приватный ключ этого кошеля "находится" во владение ФБР Северной Каролины.
Как-бы ключик не специальный, а довольно-таки обычный, вопрос в том как он оказался у ФБР. Может когда конфисковали серверы?

 

скорее всего выдан властям Apple-ом или Google-ом
вспомни как Северу, например, банально вычислили

 

Госдеп США заплатит $10 млн за информацию о хакерах DarkSide

Власти США готовы заплатить 10 млн долларов тем, кто поделится важной информацией о лидерах киберпреступной группировки DarkSide, которая атаковала весной текущего года трубопроводную компанию Colonial Pipeline.

«Государственный департамент США объявляет вознаграждение до $10 млн за информацию, позволяющую установить местонахождение любого лица или лиц, занимающих ключевую должность в транснациональной организованной преступной группе DarkSide», — говорится сообщении госдепа.

Кроме этой награды, Госдепартамент предлагает вознаграждение до 5 млн долларов за информацию, которая поможет арестовать в любой стране тех, кто временно примкнул к хакерам или помог в каком-либо преступном акте DarkSide.

Напомним, Colonial Pipeline, которая обеспечивает 45% общего объема поставок топлива на восток США, подверглась атаке вируса-вымогателя. Компании пришлось временно приостановить работу. После кибератаки на крупнейшую трубопроводную компанию США власти Соединенных Штатов объявили режим региональной чрезвычайной ситуации.

05.11.21 https://www.securitylab.ru/news/526268.php

 

Надо Блица слить за 5 лямов. Ему душевнобольному все равно в какой "Загранице" жить, а 5 лямов изрядные деньги.

 

Поздно. Его уже @user100 раньше сдал за бесплатно, под эгидой борьбы с форумным непотребством :-D :-D :-D