Большой передел мира
267,313,745
522,548
|
DeC ( Профессионал ) |
| 11 май 2021 18:58:32 |
Darkside
новая дискуссия Дискуссия 594
Про взлом Colonial Pipeline.
7 мая оператор крупнейшего в США топливопровода Colonial Pipeline стал жертвой атаки ransomware, в силу чего был вынужден временно приостановить работу трубопровода. В субботу утром об инциденте был проинформирован Белый Дом и лично Байден. А уже в воскресенье американское правительство объявило чрезвычайное положение в связи с приостановкой работы Colonial Pipeline - под угрозой оказались поставки почти половины топлива на Восточном побережье США.
Фьючерсы на бензин в моменте выросли на 4%, эксперты ожидают дальнейшего их роста, как и резкого роста цен на газ - в 2017 году из-за отключения Colonial Pipeline после утечки такое уже случалось.
Ответственным за атаку на топливопровод почти сразу же назвали оператора ransomware Darkside. И уже вчера, как писали, владельцы Darkside фактически подтвердили то, что Colonial Pipeline был атакован с помощью их вымогателя.
Darkside появились в августе 2020 года и сосредоточились на шифровании крупных корпоративных сетей. Хакеры неоднократно подчеркивали, что группа не шифрует сети больниц, школ, университетов, некоммерческих и государственных организаций. В октябре они пожертвовали по 10 тыс. долларов двум благотворительным организациям. В ноябре Darkside объявили о привлечении партнеров по схеме Ransomware-as-a-Service (RaaS).
И хотя в Топе ransomware Darkside занимает лишь 9 место по количеству жертв, некоторые из их взломов вышли весьма громкими. Например, в феврале их оператор бахнул две крупные электроэнергетические компании Бразилии - Eletronuclear и Copel. Причем Eletronuclear специализируется на строительстве и эксплуатации атомных электростанций.
Тревожный звоночек, да? Но Бразилия - не США, их никому не жалко, да и технологические сегменты сети Eletronuclear не были затронуты, поэтому все забили. Не припомним, делали ли Darkside по этому поводу какие-нибудь заявления? AFAWK, нет.
Если судить по луковому DLS (сайт утечек) Darkside, у них только публичных жертв за апрель насчитывается 13 штук. Реальное количество, с учетом латентности, полагаем, больше.
На всякий случай, в очередной раз распишем схему RaaS. Владелец ransomware, который является разработчиком и одновременно держит соответствующую инфраструктуру - DLS, кошельки для выплат, переговорщиков и пр., предоставляет свой вымогатель привлеченным в качестве оператора хакерским группам/отдельным хакерам, чтобы последние внедрили его в ранее взломанную сеть. Далее, после кражи и шифрования данных, а также зачастую удаления бэкапов, идут переговоры о выкупе и, если они завершаются успешно, полученные деньги делятся в определенном соотношении.
Поэтому в случае с атакой ransomware, работающего по схеме RaaS, неразумно называть виновным государство, которому принадлежит владелец вымогателя, - оператор может быть откуда угодно.
Правда, только не в случае с Darkside - по каким-то причинам владельцы набирают операторов исключительно из числа русскоговорящих. Поэтому можно с уверенностью утверждать, что Colonial Pipeline бахнули хакеры с постсоветсткого пространства, скорее всего из России или Украины.
Байден уже заявил, что нет никаких доказательств причастности российских властей к атаке на топливопровод (и это на самом деле так и есть). Но в то же время подчеркнул, что владельцы ransomware скорее всего находятся в России и в связи с этим "они несут определенную ответственность за то, чтобы разобраться с этим".
Немудрено, что Darkside поспешили сделать заявление, пытаясь свалить всю вину на недалекого оператора, взломавшего не ту сеть, и обещая, что подобного больше не повторится. Потому что США под угрозой санкций могут вынудить российских правоохранителей заняться расследованием киберпреступлений.
Но еще больше нам не хочется санкций, объявленных в ответ на действия хакеров, зарабатывающих миллионы долларов. А есть такое ощущение, что до этого недалеко.
7 мая оператор крупнейшего в США топливопровода Colonial Pipeline стал жертвой атаки ransomware, в силу чего был вынужден временно приостановить работу трубопровода. В субботу утром об инциденте был проинформирован Белый Дом и лично Байден. А уже в воскресенье американское правительство объявило чрезвычайное положение в связи с приостановкой работы Colonial Pipeline - под угрозой оказались поставки почти половины топлива на Восточном побережье США.
Фьючерсы на бензин в моменте выросли на 4%, эксперты ожидают дальнейшего их роста, как и резкого роста цен на газ - в 2017 году из-за отключения Colonial Pipeline после утечки такое уже случалось.
Ответственным за атаку на топливопровод почти сразу же назвали оператора ransomware Darkside. И уже вчера, как писали, владельцы Darkside фактически подтвердили то, что Colonial Pipeline был атакован с помощью их вымогателя.
Darkside появились в августе 2020 года и сосредоточились на шифровании крупных корпоративных сетей. Хакеры неоднократно подчеркивали, что группа не шифрует сети больниц, школ, университетов, некоммерческих и государственных организаций. В октябре они пожертвовали по 10 тыс. долларов двум благотворительным организациям. В ноябре Darkside объявили о привлечении партнеров по схеме Ransomware-as-a-Service (RaaS).
И хотя в Топе ransomware Darkside занимает лишь 9 место по количеству жертв, некоторые из их взломов вышли весьма громкими. Например, в феврале их оператор бахнул две крупные электроэнергетические компании Бразилии - Eletronuclear и Copel. Причем Eletronuclear специализируется на строительстве и эксплуатации атомных электростанций.
Тревожный звоночек, да? Но Бразилия - не США, их никому не жалко, да и технологические сегменты сети Eletronuclear не были затронуты, поэтому все забили. Не припомним, делали ли Darkside по этому поводу какие-нибудь заявления? AFAWK, нет.
Если судить по луковому DLS (сайт утечек) Darkside, у них только публичных жертв за апрель насчитывается 13 штук. Реальное количество, с учетом латентности, полагаем, больше.
На всякий случай, в очередной раз распишем схему RaaS. Владелец ransomware, который является разработчиком и одновременно держит соответствующую инфраструктуру - DLS, кошельки для выплат, переговорщиков и пр., предоставляет свой вымогатель привлеченным в качестве оператора хакерским группам/отдельным хакерам, чтобы последние внедрили его в ранее взломанную сеть. Далее, после кражи и шифрования данных, а также зачастую удаления бэкапов, идут переговоры о выкупе и, если они завершаются успешно, полученные деньги делятся в определенном соотношении.
Поэтому в случае с атакой ransomware, работающего по схеме RaaS, неразумно называть виновным государство, которому принадлежит владелец вымогателя, - оператор может быть откуда угодно.
Правда, только не в случае с Darkside - по каким-то причинам владельцы набирают операторов исключительно из числа русскоговорящих. Поэтому можно с уверенностью утверждать, что Colonial Pipeline бахнули хакеры с постсоветсткого пространства, скорее всего из России или Украины.
Байден уже заявил, что нет никаких доказательств причастности российских властей к атаке на топливопровод (и это на самом деле так и есть). Но в то же время подчеркнул, что владельцы ransomware скорее всего находятся в России и в связи с этим "они несут определенную ответственность за то, чтобы разобраться с этим".
Немудрено, что Darkside поспешили сделать заявление, пытаясь свалить всю вину на недалекого оператора, взломавшего не ту сеть, и обещая, что подобного больше не повторится. Потому что США под угрозой санкций могут вынудить российских правоохранителей заняться расследованием киберпреступлений.
Но еще больше нам не хочется санкций, объявленных в ответ на действия хакеров, зарабатывающих миллионы долларов. А есть такое ощущение, что до этого недалеко.
Отредактировано: DeC - 11 май 2021 18:59:41
ОТВЕТЫ (8)
|
Новый Читатель ( Практикант ) |
| 11 май 2021 19:35:56 |
Цитата: DeC от 11.05.2021 18:58:32
Казаки-разбойники прям.
Как на такие претензии отвечать у русской дипломатии имеется многовековой опыт:
ЦитатаДа Асман же паша говорил Борису. - Преж сего говорил я тебе, что на Терке живут многие государя вашего казаки, и государя нашего людем, которые ходят из Царягорода в Темиркопу и ис Темиркопы в Царьгород, от них проходу нет, и на тех людей завсе приходят и их громят, а иных в полон емлют.... А на Дону живут государя ж вашего люди, а атаман у них Кишкин с товарыщи, и государя нашего городу Азову приходя тесноту чинят великую и на море людей торговых громят многих, да и самих их на море под Азовом побили и живых поимали многих. И только государь ваш похочет з государем нашим крепкие дружбы и братства и любви, и государь бы ваш с Терки и з Дону от Азова казаков велел свести, чтоб ни один человек на Терке и на Дону у Азова казаков не был, чтоб от терских казаков государя нашего людем проход был в Кизылбаши бесстрашен, а от донских бы казаков по тому ж Азову и на море торговым людем шкоты и тесноты никоторые не было.
И Борис говорил. - Яз тебе преж сего говорил и неодинова про терских казаков, что на Терке и на Дону живут воры, беглые люди, не по государя нашего веленью. И того государь наш ничего не ведает и приходить на государя вашего людей своим людем никаким не велит, а и у вас, в государя вашего государстве, таких воров много ж, да государь наш и тех велит сыскивать и с Терки збити.
(с) 1584 г. декабря 16-го - 1585 г. июля 22-го * – Из статейного списка русского посла в Турцию Б. П. Благово о переговорах в Крыму и в Турции по поводу нападений терских казаков на турецкие отряды
|
BUR ( Специалист ) |
| 11 май 2021 20:22:22 |
Цитата: DeC от 11.05.2021 18:58:32
Этих рускоговорящих на Брайтон-Бич вагон и маленькая тележка... и не только на Брайтон-Бич.
Как известно "русская мафия" хоронит своих на иудейских кладбищах... как-то так.
|
lucent ( Практикант ) |
| 11 май 2021 22:03:09 |
Цитата: BUR от 11.05.2021 20:22:22
Тут есть два нюанса.
Во-первых, в России и Украине с 90х и нулевых огромное количество талантливой молодёжи с хорошим образованием наложилось на относительно низкие зарплаты на инженерных направлениях. Это привело к тому, что именно у нас на поприще кибер-мошенничества появляются лучшие из лучших.
Во-вторых, что еще важнее. Мало идиотов бывает грабить американские корпорации, проживая в США. И, судя о снижающемуся количеству новостей вида:"В Испании задержали русского хакера N", уже мало идиотов, которые занимаясь этой деятельностью, вообще выезжают за пределы страны. Логика элементарна. Россия граждан не выдаёт и лучше "попасться" и поехать в колонию на 3-5 лет "со связями", чем попасться там и поехать лет на 70 в тюрьму к неграм без связей...
Другой вопрос, что вероятностное нахождение всех эти групп на территории России может никак вообще не контролироваться нашими спецслужбами. Идея и всесильности наших кибер-силовиков несколько преувеличена. А те люди, которые ломаются корпорации, должны уметь в конспирацию...
|
rat1111 ( Профессионал ) |
| 12 май 2021 01:49:01 |
Цитата: lucent от 11.05.2021 22:03:09
Кубу, Северную Корею, Вьет-Нам и Турцию с Азербайджаном - никто не отменял )))
Хотя, вроде - заграница
|
|
BUR ( Специалист ) |
| 12 май 2021 02:43:59 |
Цитата: lucent от 11.05.2021 22:03:09
А мне как-то вспоминается история с вирусом, повредившим иранские центрифуги... коммерциализация соответствующих знаний выглядит очень естественной. И запредельная наглость и уверенность в безнаказанности тоже довольно характерна.
|
Поверонов ( Специалист ) |
| 12 май 2021 10:45:57 |
Цитата: lucent от 11.05.2021 22:03:09
Одно из основных правил конспирации ( что соответствует контексту ) - работа "под чужим флагом". Так что демонстрация "флага" почти наверное значит "чужого"