Colonial Pipeline Ransomware Group теряет контроль над критически важной серверной инфраструктурой
Преступники, связанные с атакой программы-вымогателя DarkSide, ответственной за нарушение поставок топлива и резкий рост цен на топливо в США, показали, что их «серверы были захвачены», а деньги переведены на «неизвестный счет».
DarkSide Ransomware-as-a-Service прекращает работу
Атака программы-вымогателя DarkSide на Colonial Pipeline вызвала массовые нарушения в США. По трубопроводу нефтепродукты проходят около 5 500 миль через всю страну, по нему между Техасом и Нью-Йорком транспортируется около 3 миллионов баррелей нефти в день, что составляет около 45 процентов поставок топлива на Восточное побережье.
Атака программы-вымогателя отключила критически важный трубопровод, вызвав безумные сцены, когда граждане бросились заполнять всевозможные контейнеры топливом в ожидании нехватки, в результате чего цены на газ достигли 3 долларов за галлон, что является самым высоким показателем с 2014 года.
Кроме того, Colonial объявила, что заплатила оператору программы-вымогателя выкуп в размере 5 миллионов долларов за получение средства дешифрования, но все же вынуждена была прибегнуть к «традиционному» восстановлению данных, поскольку фирма-вымогатель не отреагировала достаточно быстро. Хотя это звучит как беспроигрышный сценарий для фирмы, занимающейся вымогательством, другие жертвы могут отказаться платить выкуп, если они думают, что фирма впоследствии не предоставит помощь.
Теперь, в череде событий, операторы программы-вымогателя как услуги сообщили своим аффилированным лицам, что они потеряли контроль над значительной частью самой сети вымогателей, включая платежные серверы, а также средства, которые были переведены на другие недоступные учетные записи. .
Сообщение было размещено на российском криминальном форуме, хотя компании, занимающиеся кибербезопасностью, наблюдающие за этим делом, такие как Mandiant от FireEye, высказали подозрения относительно внезапных заявлений.
В сообщении упоминается давление правоохранительных органов и давление со стороны Соединенных Штатов в связи с этим решением. @Mandiant не проводил независимую проверку этих утверждений, и другие участники высказывают предположения, что это могло быть мошенничеством с выходом. (3/3)
– FireEye (@FireEye) 14 мая 2021 г.
Мало того, что время очень подозрительно, но оно согласуется с другими операциями вымогателей как услуги, которые наблюдались ранее. После успешной оценки услуга на некоторое время исчезает с карты, заменяя более позднюю дату новой целью.
Тем не менее, это объявление содержало небольшой бонус для других жертв той же программы-вымогателя. Перед закрытием магазина оператор программы-вымогателя предоставит дешифраторы всем, кто еще не заплатил выкуп, что согласуется с предыдущим сообщением оператора о том, что они находятся в нем только для денег, а не для того, чтобы вызвать фактический сбой и повреждение имущества.
Каким бы благородным это ни было, многим людям уже нанесен ущерб.
Программа-вымогатель как услуга способствует гибкости преступной деятельности
Программы-вымогатели остаются бедствием, жертвы которых сталкиваются с вечной битвой между оплатой за расшифровку и восстановление файлов, при этом зная, что эти средства подпитывают преступную деятельность.
В этом случае Colonial считала, что нет другого выбора, кроме как заплатить за получение дешифратора, даже если этот процесс не удался.
Многие компании хотят запретить платежи с использованием программ-вымогателей, заявляя, что платеж только поощряет преступников к совершению новых атак. Но пока атаки продолжаются и страдают правительства, предприятия и коммунальные службы, выплата выкупа обязательно должна производиться в индивидуальном порядке.