(mtag101701)
(mtag101702)
(mtag101703)
(mtag101703)
MOSKOVA – DarkSide olarak bilinen fidye yazılımı çetesi, büyük bir Amerikan boru hattının sahibine saldırarak, Amerika Birleşik Devletleri’nin Doğu Kıyısı boyunca benzin ve jet yakıtı teslimatlarını kesintiye uğratmadan sadece haftalar önce, grup küçük, American Midwest merkezli aile sahibi yayıncı.
(mtag101704)
(mtag101702)
Woris adında bir bilgisayar korsanıyla çalışan DarkSide, 1 doları karşılamayı reddederse, esas olarak ilkokul eğitimindeki müşterilerle çalışan yayıncının web sitelerini kapatmayı amaçlayan bir dizi saldırı başlattı. 75 milyon fidye talebi. Hatta çetenin sübyancılar tarafından okullara girmelerine izin verecek sahte kimlik kartları yapmak için kullanabileceğini söylediği bilgileri elde ettiği konusunda onları yanlış bir şekilde uyarmak için şirketin müşterileriyle iletişim kurmakla tehdit etti.
(mtag101704)
(mtag101702)
Woris bu son taktiğin özellikle hoş bir dokunuş olduğunu düşündü.
(mtag101704)
(mtag101702)
The New York Times tarafından elde edilen DarkSide ile gizli bir sohbette Rusça olarak “Muhtemelen sübyancılar tarafından okula girmek için kullanılan sızdırılmış kimlikler hakkında ruhumun derinliklerine güldüm” dedi. “Onları bu kadar korkutacağını düşünmemiştim. ”
(mtag101704)
(mtag101705)
(mtag101705)
(mtag101703)
(mtag101703)
DarkSide’ın boru hattı sahibine, Georgia merkezli Colonial Pipeline’a saldırısı, çeteyi sadece uluslararası sahneye itmedi. Ayrıca, esas olarak Rusya’da bulunan ve son derece karmaşık bilgisayar korsanlığı becerileri gerektiren bir uzmanlık alanından konveyör bandı benzeri bir sürece dönüşen hızla genişleyen bir suç endüstrisine de ışık tuttu. Şimdi, küçük çaplı suç örgütleri ve vasat bilgisayar yeteneklerine sahip bilgisayar korsanları bile potansiyel bir ulusal güvenlik tehdidi oluşturabilir.
(mtag101704)
(mtag101705)
(mtag101705)
(mtag101703)
(mtag101703)
(mtag101703)
(mtag101705)Motorlar, DarkSide’ın Colonial Pipeline’a fidye saldırısını takip eden paniğin ortasında Kuzey Carolina’daki bir Costco benzin istasyonunda benzin için sıraya giriyor.
(mtag101708)Kredi. . .
(mtag101708)Travis Long/The News & Observer, Associated Press aracılığıyla
(mtag101708)
(mtag101708)
(mtag101709)
(mtag101705)
(mtag101705)
(mtag101703)
(mtag101703)
Bir zamanlar suçluların, insanları banka şifrelerini vermeleri için kandırmak ve güvenli kişisel hesaplardan para çekme konusunda teknik bilgiye sahip olmak için psikolojik oyunlar oynamak zorunda kaldıkları yerde, şimdi neredeyse herkes raftan fidye yazılımını alıp, güvenliği ihlal edilmiş bir bilgisayara yükleyebilir. YouTube eğitimlerinden veya DarkSide gibi grupların yardımıyla alınan hileleri kullanan bilgisayar sistemi.
(mtag101704)
(mtag101702)
Siber suçlardan dolayı Belarus’ta 10 yıl hapis yatmış eski bir bilgisayar korsanı olan Sergei A. Pavlovich, “Herhangi bir doofus artık bir siber suçlu olabilir” dedi. “Girişin önündeki entelektüel engel son derece azaldı. ”
(mtag101704)
(mtag101702)
Colonial Pipeline saldırısından önceki aylarda DarkSide’ın gizli iletişimlerine bir bakış, her ay milyonlarca dolar fidye ödemesi alan bir suç operasyonunun yükselişte olduğunu ortaya koyuyor.
(mtag101704)
(mtag101702)
DarkSide, bir kötü amaçlı yazılım geliştiricisinin, fidye yazılımı oluşturmak için teknik becerilere sahip olmayan ancak yine de bir kurbanın yazılımını kırabilen Woris gibi bağlı kuruluşlardan bir kullanıcı ücreti aldığı “hizmet olarak fidye yazılımı” olarak bilinen şeyi sunar. bilgisayar sistemleri.
(mtag101704)
(mtag101705)
(mtag101705)
(mtag101703)
(mtag101703)
DarkSide’ın hizmetleri arasında bilgisayar korsanları için teknik destek sağlamak, yayıncı şirket gibi hedeflerle müzakere etmek, ödemeleri işlemek ve şantaj ve web sitelerini çökertmek için ikincil saldırılar gibi diğer yollarla özel baskı kampanyaları tasarlamak yer alır. DarkSide’ın kullanıcı ücretleri kayan bir ölçekte işlemektedir: Bilgisayar güvenlik firması FireEye’e göre, 500.000 ABD Dolarının altındaki fidyeler için yüzde 25, 5 milyon ABD Doları üzerindeki fidyeler için yüzde 10’a kadar.
(mtag101704)
(mtag101702)
Görünüşe göre, bir başlangıç operasyonu olarak, DarkSide artan ağrılarla mücadele etmek zorunda kaldı. Grubun müşteri desteğinden biriyle yaptığı sohbette Woris, çetenin fidye yazılımı platformunun kullanımının zor olduğundan ve DarkSide ile Amerikan yayıncılık şirketinden nakit sızdırmak için çalışırken kendisine zaman ve paraya mal olduğundan şikayet etti.
(mtag101704)
(mtag101702)
Mart ayında bir takasta “Platformunuzda nasıl iş yapacağımı bile anlamıyorum” diye şikayet etti. “Yapılacak işler varken çok fazla zaman harcıyoruz. Pes etmediğini anlıyorum. Biz olmazsak, başkaları size ödeme yapacak. nitelik değil niceliktir. ”
(mtag101704)
(mtag101702)
The Times, DarkSide müşterilerinin fidye saldırılarını organize etmek ve yürütmek için kullandığı dahili “panoya” erişim kazandı. Giriş bilgileri, bir aracı aracılığıyla bir siber suçlu tarafından The Times’a sağlandı. Times, bilgisayar korsanlarından ek misillemelerden kaçınmak için saldırıya karışan şirketin adını saklıyor.
(mtag101704)
(mtag101702)
DarkSide panosuna erişim, küresel siber suçların yüzü haline gelen Rusça konuşan bir çetenin iç işleyişine olağanüstü bir bakış sağladı. Tamamen siyah beyaz olarak gösterilen gösterge panosu, kullanıcılara DarkSide’ın hedef listesine erişimin yanı sıra, sürekli bir kâr göstergesi ve bağlı kuruluşların kurbanlarını sıkıştırmak için stratejiler geliştirebilecekleri grubun müşteri destek ekibiyle bağlantı kurmasını sağladı.
(mtag101704)
(mtag101705)
(mtag101705)
(mtag101703)
(mtag101703)
(mtag101707) DarkSide web sitesindeki kuralların ekran görüntüsü.
(mtag101708)
(mtag101709)
(mtag101705)
(mtag101705)
(mtag101703)
(mtag101703)
Bir Times muhabiri oturum açtığında, DarkSide bir hafta önce kapandığını bildiren bir bildiri yayınlamış olmasına rağmen, gösterge paneli 20 Mayıs itibariyle hala çalışır durumdaydı. Bir müşteri destek çalışanı, Times muhabiri tarafından Woris’in hesabından gönderilen bir sohbet isteğine neredeyse anında yanıt verdi. Ancak muhabir kendisini gazeteci olarak tanımladığında, hesap derhal bloke edildi.
(mtag101704)
(mtag101705)
(mtag101705)
(mtag101703)
(mtag101703)
(mtag101702) Colonial Pipeline’a yapılan saldırıdan önce bile DarkSide’ın işi patlama yaşıyordu. DarkSide’ın Bitcoin cüzdanlarını inceleyen siber güvenlik firması Elliptic’e göre çete yaklaşık 15 dolar aldı. Ekim 2020’den bu yana 5 milyon Bitcoin, 75 milyon dolar daha bağlı kuruluşlara gidiyor.
(mtag101704)
(mtag101702)
Böyle genç bir suç çetesi için ciddi kazançlar – bilgisayar güvenliği araştırmacılarına göre DarkSide daha geçen Ağustos’ta kuruldu – yeraltında Rusça konuşan siber suçlunun son yıllarda nasıl mantarlaştığının altını çiziyor. Bu büyüme, Bitcoin gibi kripto para birimlerinin, bazen fiziksel olarak, pratik olarak modası geçmiş olan eski usul para katırlarına ihtiyaç duymasıyla tetiklendi.
(mtag101704)
(mtag101702)
Siber güvenlik uzmanları, yalnızca birkaç yıl içinde fidye yazılımının sıkı bir şekilde organize edilmiş, oldukça bölümlere ayrılmış bir işletmeye dönüştüğünü söylüyor. Bilgisayar sistemlerine giren belirli bilgisayar korsanları ve işi onları kontrol altına almak olan başkaları vardır. Kara para aklama konusunda teknik destek uzmanları ve uzmanlar var. Birçok suç çetesinin medya ilişkileri ve sosyal yardım yapan resmi sözcüleri bile var.
(mtag101704)
(mtag101702)
Birçok yönden, Rus fidye yazılımı endüstrisinin organizasyon yapısı, McDonald’s veya Hertz gibi giriş engellerini azaltan ve kanıtlanmış iş uygulamalarının ve tekniklerinin kolayca çoğaltılmasına izin veren franchise’ları taklit ediyor. DarkSide’ın bir iştiraki olarak mağaza kurmak ve istenirse Colonial Pipeline’a yapılan saldırıda kullanılan fidye yazılımının çalışan bir sürümünü indirmek için gereken tek şey DarkSide’ın kontrol paneline erişimdi.
(mtag101704)
(mtag101705)
(mtag101705)
(mtag101703)
(mtag101703) Rusya’da fidye yazılımı endüstrisi, kısmen oradaki yetkililerin Rusya dışındaki siber suçlar nedeniyle insanları nadiren yargılayacaklarını açıkça belirttikleri için patlayıcı bir şekilde büyüyor.
(mtag101708)Kredi. . .
(mtag101708)
(mtag101707)Sergey Ponomarev, The New York Times için
(mtag101708)
(mtag101708)
(mtag101709)
(mtag101705)
(mtag101705)
(mtag101703)
(mtag101703)
The Times bu yazılımı satın almasa da, yayıncılık şirketi DarkSide fidye yazılımı saldırısının kurbanı olmanın nasıl bir şey olduğuna dair bir pencere sundu.
(mtag101704)
(mtag101702)
Kurbanın ekranda gördüğü ilk şey, talimatlar ve nazik tehditler içeren bir fidye mektubu.
(mtag101704)
(mtag101705)
(mtag101705)
(mtag101703)
(mtag101703)
(mtag101702) Mektupta, kurbanın bilgisayarlarının ve sunucularının şifrelendiğini ve tüm yedeklerin silindiğini açıklamadan önce İngilizce “DarkSide’a Hoş Geldiniz” yazıyor.
(mtag101704)
(mtag101702)
Bilgilerin şifresini çözmek için kurbanlar, özel bir geçiş anahtarı girmeleri gereken bir web sitesine yönlendirilir. Mektup, herhangi bir sorunla karşılaşırlarsa bir teknik destek ekibini arayabileceklerini açıkça ortaya koyuyor.
(mtag101704)
(mtag101702)
“!!! TEHLİKE !!! Herhangi bir dosyayı kendiniz DEĞİŞTİRMEYİN veya KURTARMAYA ÇALIŞMAYIN” diyor mektupta. “Onları GERİ YÜKLEYEMEYECEĞİZ. ”
(mtag101704)
(mtag101702)
DarkSide yazılımı yalnızca kurbanların bilgisayar sistemlerini kilitlemekle kalmaz, aynı zamanda tescilli verileri de çalarak bağlı kuruluşların yalnızca sistemlerin kilidini açmak için değil, aynı zamanda hassas şirket bilgilerini kamuya açıklamaktan kaçınmaları için de ödeme talep etmelerine olanak tanır.
(mtag101704)
(mtag101702)
The Times tarafından görüntülenen sohbet günlüğünde, bir DarkSide müşteri destek çalışanı, Woris’e 300’den fazla fidye saldırısına karıştığını söyleyerek övündü ve onu rahatlatmaya çalıştı.
(mtag101704)
(mtag101702)
Çalışan, “Gelirlerle sizin kadar ilgileniyoruz” dedi.
(mtag101704)
(mtag101702)
Birlikte, yalnızca birkaç yüz çalışanı olan, neredeyse asırlık bir aile şirketi olan yayıncılık şirketini sıkıştırma planını yaptılar.
(mtag101704)
(mtag101702)
Woris ve DarkSide’ın teknik desteği, şirketin bilgisayar sistemlerini kapatmaya ve sübyancı tehdidine ek olarak, okul yetkililerine ve şirketin müşterileri olan velilere gönderilmek üzere bir şantaj mektubu hazırladı.
(mtag101704)
(mtag101705)
(mtag101705)
(mtag101703)
(mtag101703)
“Sevgili okul personeli ve ebeveyn,” diye yazıyordu mektup, “size karşı kişisel hiçbir şey yok, bu sadece iş. (Şirketin bir sözcüsü, DarkSide’ın hiçbir müşteriyle iletişime geçmediğini, ancak birkaç çalışanın iletişim kurduğunu söyledi.)
(mtag101704)
(mtag101702)
Bunun üzerine, DarkSide’ın Nisan ayında tanıttığı yeni bir hizmeti kullanarak, bilgisayar korsanlarının bir şirketin ağını sahte isteklerle aşırı yüklediği sözde DDOS saldırıları ile şirketin web sitelerini kapatmayı planladılar.
(mtag101704)
(mtag101705)
(mtag101705)
(mtag101703)
(mtag101703) Başkan Biden, Rus devletinin Kolonyal Boru Hattı’na yapılan saldırıya karışmış gibi görünmediğini, ancak Kremlin’in sınırları içindeki gruplar tarafından işlenen siber suçları kovuşturmakla sorumlu olduğunu vurguladı.
(mtag101708)Kredi. . .
(mtag101708)
(mtag101707)Doug Mills/The New York Times
(mtag101708)
(mtag101708)
(mtag101709)
(mtag101705)
(mtag101705)
(mtag101703)
(mtag101703)
DarkSide ile yapılan fidye görüşmeleri 22 gün sürdü ve şirketin sözcüsü, e-posta veya çetenin blogunda, yalnızca bozuk İngilizce konuşan bir bilgisayar korsanı veya bilgisayar korsanı ile yürütüldüğünü söyledi. Müzakereler, şirketin 1 doları ödemeyi reddetmesi üzerine Mart ayında bozuldu. 75 milyon fidye DarkSide, görünüşe göre, canlıydı ve fidye yazılımı saldırısının haberlerini haber medyasına sızdırmakla tehdit etti.
(mtag101704)
(mtag101702)
“Yoksaymak senin için çok kötü bir strateji. DarkSide bir e-postayla yazdı, fazla zamanınız yok. “İki gün sonra blog yazınızı herkese açık hale getireceğiz ve bu haberi tüm büyük kitle iletişim araçlarına göndereceğiz. Ve herkes sizin felaket veri sızıntısını görecek. ”
(mtag101704)
(mtag101702)
Tüm güçlü kol taktikleri için, DarkSide tamamen ahlaki bir pusuladan yoksun değildi. Kontrol paneline gönderilen kurallar listesinde grup, eğitim, tıbbi veya hükümet hedeflerine yönelik her türlü saldırının yasak olduğunu söyledi.
(mtag101704)
(mtag101702)
DarkSide, iletişimlerinde kibar olmaya çalıştı ve grup, hizmetlerini kullanan bilgisayar korsanlarından da aynısını bekliyordu. DarkSide, bir iç iletişimde, sonuçta grup, “itibarımıza çok değer veriyor” dedi.
(mtag101704)
(mtag101705)
(mtag101705)
(mtag101703)
(mtag101703)
(mtag101702) “Hiçbir sebep olmaksızın hedeflere hakaret etmek veya kaba davranmak yasaktır,” dedi DarkSide. “Normal ve sakin diyalog yoluyla para kazanmayı hedefliyoruz. ”
(mtag101704)
(mtag101702)
DarkSide tarafından Rusça konuşan diğer siber suçlu gruplarının çoğu gibi benimsenen bir diğer önemli kural, günümüzün siber suçlarıyla ilgili bir gerçeğin altını çiziyor. Eski Sovyet cumhuriyetlerinin bir koleksiyonu olan Bağımsız Devletler Topluluğu’nda yaşayan herkes saldırıya kesinlikle kapalıdır.
(mtag101704)
(mtag101702)
Siber güvenlik uzmanları, “. Rusya’nın ulusal alan son ekine bir gönderme olan ru” darlığı, Rus kanun yaptırımı ile karışıklığı önlemek için Rusça konuşan bilgisayar korsanlığı topluluğunda zorunlu hale geldi. Rus makamları, siber suçluları fidye yazılımı saldırıları ve Rusya dışındaki diğer siber suçlar nedeniyle nadiren kovuşturacaklarını açıkça belirtti.
(mtag101704)
(mtag101702)
Uzmanlar, sonuç olarak Rusya’nın fidye yazılımı saldırıları için küresel bir merkez haline geldiğini söylüyor. Boston dışında bulunan siber güvenlik firması Recorded Future, yaklaşık 15’inin – en büyük beşi de dahil olmak üzere – Rusya’da veya eski Sovyetler Birliği’nin başka yerlerinde olduğuna inanılan yaklaşık 25 fidye yazılımı grubunu takip ediyor, firma için bir tehdit istihbarat uzmanı şunları söyledi: Dmitry Smilyanets.
(mtag101704)
(mtag101702)
Bay Smilyanets, siber suçlar nedeniyle dört yıl federal gözaltında tutulan Rusya’dan eski bir bilgisayar korsanı. Özellikle Rusya, siber suçlular için bir “sera” haline geldi, dedi.
(mtag101704)
(mtag101702)
Bay Smilyanets, “Rusya’da siber suçluların kendilerini iyi hissettikleri ve gelişebilecekleri bir atmosfer yaratıldı” dedi. “Birisi rahat ve ertesi gün tutuklanmayacağından emin olduğunda, daha özgür ve daha yüzsüz davranmaya başlar. ”
(mtag101704)
(mtag101702)
Rusya Devlet Başkanı Vladimir V. Putin, kuralları son derece net bir şekilde ortaya koydu. Amerikalı gazeteci Megyn Kelly, 2018’deki bir röportajda Rusya’nın Amerikan seçimlerine müdahale ettiğine inanılan bilgisayar korsanlarını neden tutuklamadığı konusunda ona baskı yaptığında, onları tutuklayacak hiçbir şey olmadığını söyledi.
(mtag101704)
(mtag101705)
(mtag101705)
(mtag101703)
(mtag101703)
Putin, “Rusya yasalarını çiğnememişlerse, Rusya’da yargılanacak hiçbir şey yok” dedi. “Sonunda Rusya’daki insanların Amerikan yasalarına göre değil, Rus yasalarına göre yaşadığını anlamalısınız. ”
(mtag101704)
(mtag101705)
(mtag101705)
(mtag101703)
(mtag101703)Megyn Kelly, Rusya Devlet Başkanı Vladimir V. Putin’e ülkesinin Amerikan seçimlerine müdahale ettiğine inanılan bilgisayar korsanlarını neden tutuklamadığını sorduğunda, Rus yasalarına göre onları kovuşturacak hiçbir şey olmadığını söyledi.
(mtag101708)Kredi. . .
(mtag101708)Alexei Druzhinin/Agence France-Presse — Getty Images
(mtag101708)
(mtag101708)
(mtag101709)
(mtag101705)
(mtag101705)
(mtag101703)
(mtag101703)
Sömürge saldırısından sonra Başkan Biden, istihbarat yetkililerinin bilgisayar korsanlarının Rusya’dan olduğuna dair kanıtları olduğunu, ancak henüz hükümetle herhangi bir bağlantı bulamadıklarını söyledi.
(mtag101704)
(mtag101702)
“Şu ana kadar istihbarat adamlarımızdan Rusya’nın dahil olduğuna dair bir kanıt yok, ancak aktörlerin, fidye yazılımının Rusya’da olduğuna dair kanıtlar var” dedi ve Rus yetkililerin “bununla başa çıkmak için bazı sorumlulukları olduğunu” da sözlerine ekledi. bu. ”
(mtag101704)
(mtag101702)
Bu ay, DarkSide’ın destek personeli, sistemin kapatılmakta olan bölümlerine yanıt vermek için çabaladı ve grubun kanıt olmadan ABD’den gelen baskıya bağladı. Sömürge saldırısının kamuoyuna açıklanmasının ertesi günü, 8 Mayıs’ta yayınlanan bir gönderide, DarkSide personeli, yan kuruluşlarından bir miktar sempati duymayı umuyor gibi görünüyordu.
(mtag101704)
(mtag101702)
İlanda, “Artık ‘ödemeler’ altında Destek için bir ipucu bırakma seçeneği var” dedi. “İsteğe bağlı, ancak Destek mutlu olurdu :). ”
(mtag101704)
(mtag101702)
F. B. I.’nin DarkSide’ı herkesin önünde suçlu olarak tanımlamasından günler sonra, yayıncılık şirketinden henüz ödeme almamış olan Woris, görünüşe göre endişeli bir şekilde müşteri hizmetlerine ulaştı.
(mtag101704)
(mtag101705)
(mtag101705)
(mtag101703)
(mtag101703)
(mtag101702)“Merhaba, nasıl gidiyor” yazdı. Sana çok sert vurdular. ”
(mtag101704)
(mtag101702)
Bu, Woris’in DarkSide ile yaptığı son iletişimdi.
(mtag101704)
(mtag101702)
Günler sonra, kontrol panelinde grubun söylendiği gibi tam olarak kapanmadığını, ancak diğer bilgisayar korsanlarının karlı fidye yazılımı işini sürdürebilmesi için altyapısını sattığını söyleyen bir mesaj belirdi.
(mtag101704)
(mtag101702)
DarkSide, “Fiyat pazarlık edilebilir” diye yazdı. “Benzer bir ortaklık programını tamamen başlatarak ayda 5 milyon dolar kar elde etmek mümkün. ”
(mtag101704)
(mtag101705)
(mtag101705)
(mtag101704)
(mtag101702)
Bir The New York Times haberinden çevrildi ve haberleştirildi.
(mtag101704)