Источник усомнился в самороспуске хакеров из DarkSide

Москва. 18 мая. INTERFAX.RU - Заявления хакеров из DarkSide, стоящих за атакой на американский топливопровод Colonial Pipeline, о самороспуске, скорее всего не соответствуют действительности, так как группа может продолжить работу под другим "брендом". Об этом "Интерфаксу" сообщил источник, знакомый с расследованиями деятельности подобных организаций.

"Скорее всего, в ближайшее время мы увидим подобную же деятельность, но уже под другой вывеской. Не исключено, что это сделано только для того, чтобы запутать следы", - сказал собеседник агентства.

Источник добавил, что когда DarkSide впервые заявили о себе в августе 2020 года, они уже утверждали, что занимались подобными операциями ранее.

Ранее американские СМИ сообщили, что DarkSide, которую США обвиняют в недавней кибератаке на топливопровод Colonial Pipeline, приняла решение о роспуске. Хакеры оповестили, что группа прекращает работу, а ранее использованный ими сайт в настоящий момент закрыт. Участники DarkSide пояснили, что приняли такое решение, так как "сталкиваются со все большим давлением со стороны правоохранительных органов, а также США".

Эксперт по кибербезопасности "Лаборатории Касперского" Дмитрий Галов, в свою очередь, сообщил "Интерфаксу", что атаковавшие Colonial Pipeline не обязательно являются членами группы с названием DarkSide, они могли воспользоваться одноименной программой-шифровальщиком в рамках "партнерской программы".

"DarkSide - типичный представитель киберпреступных групп, нацеленных в первую очередь на получение финансовой выгоды. Они обычно работали по схеме Ransomware-as-a-Service, т.е. разрабатывали вредоносное ПО, обеспечивали необходимые для атаки условия, в том числе площадку для размещения, проведения переговоров. Непосредственно для атаки эти злоумышленники привлекали "партнеров", которым предлагали использовать свои наработки "по подписке" за долю от полученного выкупа", - сказал Галов.

По его словам, обычно задача "партнеров" состояла в том, чтобы проникнуть в инфраструктуру жертвы и запустить вредоносную программу.

Эксперт рассказал, что существуют версии вымогателя DarkSide для ПО Windows и Linux. Обе версии имеют безопасную криптографическую схему, поэтому расшифровка без ключа от злоумышленников невозможна.

"В отличие от некоторых других групп, Darkside сообщали, что у них есть кодекс поведения: они не атакуют больницы, школы, государственные учреждения и некоммерческие организации", - сказал Галов.

Отвечая на вопрос "Интерфакса", есть ли основания предполагать, что "операторы" DarkSide базируются в РФ, как это утверждают в США, собеседник агентства сообщил, что на данный момент "можно говорить только о том, что данная группа не работает на территории СНГ, и некоторые её участники говорят на русском".

Топливопровод, по которому доставляют горючее из Техаса на восточное побережье США, парализовала хакерская атака 7 мая. 11 мая компания-оператор Colonial Pipeline объявила о постепенном возобновлении работы.

Власти США считают, что именно DarkSide на несколько дней парализовала работу трубопровода Colonial Pipeline. В Вашингтоне утверждают, что сами хакеры живут в России, однако не имеют никакого отношения к властям РФ.

При этом агентство Bloomberg сообщило со ссылкой на источники, что компания-оператор американского трубопровода Colonial Pipeline заплатила около $5 млн хакерам за восстановление своей компьютерной сети.