Операторы вымогательского ПО DarkSide предлагают хранилище для похищенных данных
18 ноября 2020 года
Операторы вымогательского ПО DarkSide, распространяющегося по бизнес-модели «вымогательское ПО как услуга» (RaaS), стали рекламировать расположенное в Иране распределенное хранилище для данных, похищенных у организаций в результате кибератак. Если подобная практика окажется успешной, то ее могут перенять и другие операторы программ-вымогателей. В таком случае организации столкнутся с серьезной проблемой, поскольку это существенно затруднит безопасникам задачу по предотвращению публикации похищенной корпоративной информации.
«Подобные серверы в Иране и других странах труднее обнаружить, заблокировать и изъять из-за недостатка сотрудничества со стороны местных правоохранительных органов», - пояснила изданию DarkReading Виктория Кивилевич, аналитик израильской ИБ-компании KELA, обнаружившей новую преступную схему.
В то же время, хранение украденных данных в распределенной системе упростит киберпреступникам доступ к данным по сравнению с загрузкой файлов через Tor, как это обычно делается сейчас.
«В целом, такой шаг показывает, что разработчики программ-вымогателей активизируют усилия по масштабированию своих операций и формированию сложной экосистемы, предназначенной для нанесения значительного ущерба жертвам», - отметила Кивилевич.
Исследователи безопасности из KELA обнаружили два недавних объявления в блоге операторов DarkSide. В первом объявлении от 11 ноября группировка сообщила о своем намерении создать распределенную систему хранения, которую ее партнеры (или так называемые филиалы) могли бы использовать для хранения похищенных у жертв данных. Реклама гарантирует партнерам, что украденные данные будут храниться не менее шести месяцев.
«Мы уже работаем над устойчивой системой хранения ваших данных. Все ваши данные будут реплицированы между несколькими серверами, и блокировка одного сервера не приведет к удалению данных», - сообщили киберпреступники.
Однако в последующем сообщении операторов DarkSide от 15 ноября группировка призналась, что, возможно, не полностью продумала свои планы по хранению украденных данных на серверах в Иране. Управление по контролю за иностранными активами Министерства финансов США ясно дало понять, что жертвы программ-вымогателей в США могут столкнуться с юридическими проблемами, если они заплатят выкуп преступным группировкам, связанным с организациями или странами (включая Иран) из санкционных списков США.
Как пояснили операторы DarkSide во втором сообщении, похищенные данные в настоящее время не хранятся ни на каких серверах в Иране. По их словам, украденная у жертв вымогательского ПО информация не будет храниться в странах, внесенных в санкционный список правительства США. «Поэтому не беспокойтесь, мы не в санкционных списках и не являемся гражданами Ирана», - говорится в сообщении.
Источники править
Эта статья содержит материалы из статьи «Операторы вымогательского ПО DarkSide предлагают хранилище для похищенных данных», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.