17-10-2023
DarkSide — хакерская группа и производитель хакерского ПО. Впервые была замечена в августе 2020 года[1]. По мнению лаборатории Касперского, профессионально выглядящий веб-сайт DarkSide Leaks вполне может быть веб-сайтом поставщика онлайн-услуг, который использует традиционные методы маркетинга, имея признаки бизнес-предприятия[2].
Судя по схеме работы, группа состоит из опытных киберпреступников[3].
Код программы-вымогателя, используемый DarkSide, напоминает программу-вымогатель, используемую REvil, другой хакерской группой; код REvil не является открытым, что говорит о том, что DarkSide является либо ответвлением, либо партнёром REvil[4][5]. DarkSide и REvil используют аналогично составленные требования выкупа и один и тот же код. Как правило, большинство жертв не находятся в странах СНГ. Darkside — программа-вымогатель, используемая как услуга (RaaS). Вполне возможно, что за тремя атаками, произошедшими в последнее время, стоят разные партнёрские группы. Участники DarkSide признают, что они просто покупают доступ к корпоративным сетям и понятия не имеют, как был получен к ним доступ[6].
Существует мнение, что компания имеет связь с Россией или иной страной, поскольку она не атакует сайты, написанные на русском и компании, расположенные в странах СНГ[7]. Кроме того, по сообщению компании Acronis, вредоносное ПО группы не работает на компьютерах, использующих русскую раскладку клавиатуры.
Группа утверждает, что жертвует часть своих преступных доходов на благотворительность, и разместила квитанции на несколько таких пожертвований на своём веб-сайте[8].
Бостонская компания Cybereason, специализирующаяся на технологиях кибербезопасности, заявила, что DarkSide — организованная группа хакеров, создавших своеобразную бизнес-модель «программы-вымогателя как услуги», то есть хакеры DarkSide разрабатывают и продают инструменты взлома программ-вымогателей заинтересованным лицам, которые затем проводят атаки. Американский кабельный и спутниковый телеканал новостей бизнеса CNBC назвал DarkSide «злым двойником стартапа из Кремниевой долины». Издание цитирует заявление компании, в котором говорится: «Мы аполитичны, мы не участвуем в геополитике, не нужно связывать нас с определённым правительством и искать наши мотивы. Наша цель — зарабатывать деньги, а не создавать проблемы для общества»[9].
DarkSide подозревается в проведении кибератаки на Colonial Pipeline — один из крупнейших топливных трубопроводов США[a][10].. Атака является крупнейшей в истории кибератакой на критически важную инфраструктуру США[10].
Руководство компании Colonial Pipeline признало выплату хакерам выкупа 4,5 млн долл. По данным исследовательской компании Elliptic, только за период с августа 2020 года по апрель 2021, DarkSide получила с жертв своих атак, по меньшей мере 90 млн долл. в биткоинах[11].
Услуги DarkSide включают в себя оказание технической поддержки хакерам, ведение переговоров с их жертвами, обработку платежей и разработку специализированных кампаний давления с помощью шантажа и других средств[12].
Согласно данным компании FireEye, занимающейся компьютерной безопасностью, DarkSide взимала с пользовавшихся её услугами хакеров плату по скользящей шкале: от 10 % за выкуп свыше 5 млн долларов до 25 % за выкуп менее 500 тыс. долларов[12].
DarkSide предлагает так называемые «услуги по вымогательству» в интернете. DarkSide берёт плату со своих соучастников, которые не обладают знаниями программистов для создания программ-вымогателей, но могут влезть в компьютер своей жертвы. По данным газеты New York Times, криминальные операции приносят DarkSide миллионы долларов ежемесячно[12][b].
DarkSide зарегистрировалось как докладчик на See Con 2122 (https://t.me/anekwanted/665).
DarkSide (хакерская группа).