[Информационная безопасность, Криптография] Брайан Кребс: криптовымогатель DarkSide не шифрует ПК c русской раскладкой
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
ФБР заявила, за атаку на трубопровод крупного поставщика бензина и нефтепродуктов Colonial Pipeline в США ответственны распространители программы-криптовымогателя DarkSide. Исследователь безопасности Брайан Кребс выяснил, что хакеры не атакуют системы в странах бывшего советского блока.
Нью-Йоркская компания киберразведки Flashpoint заявила, что атака DarkSide не была нацелена на ущерб национальной инфраструктуре, а связана с вымогательством. Ранее хакеры из группы уже предпринимали подобные действия в отношении других компаний с солидным капиталом. В самой DarkSide подтвердили, что «не участвуют в геополитике», а «зарабатывают деньги». Группа обещала принять меры для того, чтобы подобных атак с серьезными последствиями для общества не повторилось в будущем. DarkSide начала работать на русскоязычных хакерских форумах в августе 2020 года. Хакеры предоставляют программу-вымогатель для атак на компании с целью требовать деньги за разблокировку и удаление украденной информации. Представители группы заявляли, что у них действует запрет на атаки в отношении организаций здравоохранения, похоронных услуг, образования, госсектора и НКО. В конце марта DarkSide представила «службу звонков», которая была интегрирована в панель управления и позволяла организовывать звонки с принуждением жертв к выплате выкупа. В середине апреля группа объявила о новой возможности запускать распределенные атаки типа «отказ в обслуживании» (DDoS) против целей всякий раз, когда требуется дополнительное давление во время переговоров. DarkSide также рекламировал возможность продавать информацию о жертвах до публикации украденной информации в специальном блоге,чтобы мошенники могли нажиться на их акциях. Брайан Кребс вместе с Intel 471 проанализировал переговоры между командой DarkSide и компанией из США стоимостью $ 15 млрд, которая в январе 2021 года получила требование выкупа в размере $ 30 млн. Сначала компания-жертва предложила заплатить всего $ 2,25 млн. В DarkSide долго торговались, но в итоге согласились снизить требование по выкупу до $ 28,7 млн, угрожая затем повысить ценник сразу до $ 60 млн. Компания повысила сумму до $ 4,75 млн, и хакеры пошли на новую уступку — снизили сумму выкупа до $ 12 млн. В ответ жертва потребовала гарантий нераспространения секретной информации и того, что подобные атаки не повторятся снова. Хакеры согласились на эти условия. По оценке Flashpoint, некоторые стоящие за DarkSide хакеры работали с другим вымогателем — REvil, также известным как Sodinokibi. Кребс отмечает, что DarkSide, как и многие другие вымогатели, не будет устанавливаться в системах с кириллическими клавиатурами и другими скриптами. При этом в описании DarkSide от Mandiant и FireEye говорится, что вредоносная программа проверяла язык системы перед взломом. Это же подтверждает и анализ от Cybereason Defense. Когда программа-вымогатель запускается на зараженном хосте, она проверяет язык, используя функции GetSystemDefaultUILanguage () и GetUserDefaultLangID (), чтобы избежать систем, расположенных в странах бывшего советского блока. 
В комментарии к анализу пользователь обратил внимание, что данные сведения не относятся к информации о локализации систем.Между тем ФБР считает, что DarkSide базируется в России или одной из стран Восточной Европы. Президент США Джо Байден заявил, что свидетельств этому нет, но Россия может нести ответственность за атаки, если киберпреступники действовали с ее территории. Москва отрицает причастность ко взлому. Между тем хакеры из группы DarkSide организовали атаку на французское подразделение японской корпорации Toshiba. Они похитили более 740 гигабайт информации, в том числе о новых бизнес-проектах, а также личные данные.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность] Обзор решения: Proget MDM
- [Информационная безопасность, Системное администрирование, Антивирусная защита, Разработка под Windows, Софт] Бэкдор в Win 10 Tweaker, или современные методы борьбы с пиратством
- [SCADA, Умный дом, Инженерные системы] Строим и автоматизируем вентиляцию — Спас-на-Крови
- [Информационная безопасность, Системное администрирование, Сетевые технологии] 4. Континент 4 Getting Started. Веб-защита
- [Информационная безопасность, Программирование, IT-инфраструктура] Автоматизация как вектор роста бизнеса (перевод)
- [Читальный зал, Научно-популярное, Биотехнологии, Здоровье] Свет внутри: неинвазивная биолюминесцентная визуализация
- [ERP-системы, Управление проектами, 1С] Учет спецодежды и спецоснастки в 1С:ERP: как обойти ограничения типового функционала
- [Информационная безопасность, Обработка изображений] Защищаем сканы своих документов в интернет
- [Информационная безопасность, Процессоры] Исследователи описали подобную Spectre уязвимость процессоров Intel и AMD
- [Информационная безопасность] Security Week 18: непреднамеренный кибершпионаж
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_kriptografija (Криптография), #_brajan_krebs (брайан кребс), #_darkside, #_kriptovymogateli (криптовымогатели), #_ataki (атаки), #_hakery (хакеры), #_rossija (россия), #_sistemy (системы), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_kriptografija (
Криптография
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 19:28
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
ФБР заявила, за атаку на трубопровод крупного поставщика бензина и нефтепродуктов Colonial Pipeline в США ответственны распространители программы-криптовымогателя DarkSide. Исследователь безопасности Брайан Кребс выяснил, что хакеры не атакуют системы в странах бывшего советского блока.  Нью-Йоркская компания киберразведки Flashpoint заявила, что атака DarkSide не была нацелена на ущерб национальной инфраструктуре, а связана с вымогательством. Ранее хакеры из группы уже предпринимали подобные действия в отношении других компаний с солидным капиталом. В самой DarkSide подтвердили, что «не участвуют в геополитике», а «зарабатывают деньги». Группа обещала принять меры для того, чтобы подобных атак с серьезными последствиями для общества не повторилось в будущем. DarkSide начала работать на русскоязычных хакерских форумах в августе 2020 года. Хакеры предоставляют программу-вымогатель для атак на компании с целью требовать деньги за разблокировку и удаление украденной информации. Представители группы заявляли, что у них действует запрет на атаки в отношении организаций здравоохранения, похоронных услуг, образования, госсектора и НКО. В конце марта DarkSide представила «службу звонков», которая была интегрирована в панель управления и позволяла организовывать звонки с принуждением жертв к выплате выкупа. В середине апреля группа объявила о новой возможности запускать распределенные атаки типа «отказ в обслуживании» (DDoS) против целей всякий раз, когда требуется дополнительное давление во время переговоров. DarkSide также рекламировал возможность продавать информацию о жертвах до публикации украденной информации в специальном блоге,чтобы мошенники могли нажиться на их акциях. Брайан Кребс вместе с Intel 471 проанализировал переговоры между командой DarkSide и компанией из США стоимостью $ 15 млрд, которая в январе 2021 года получила требование выкупа в размере $ 30 млн. Сначала компания-жертва предложила заплатить всего $ 2,25 млн. В DarkSide долго торговались, но в итоге согласились снизить требование по выкупу до $ 28,7 млн, угрожая затем повысить ценник сразу до $ 60 млн. Компания повысила сумму до $ 4,75 млн, и хакеры пошли на новую уступку — снизили сумму выкупа до $ 12 млн. В ответ жертва потребовала гарантий нераспространения секретной информации и того, что подобные атаки не повторятся снова. Хакеры согласились на эти условия. По оценке Flashpoint, некоторые стоящие за DarkSide хакеры работали с другим вымогателем — REvil, также известным как Sodinokibi. Кребс отмечает, что DarkSide, как и многие другие вымогатели, не будет устанавливаться в системах с кириллическими клавиатурами и другими скриптами. При этом в описании DarkSide от Mandiant и FireEye говорится, что вредоносная программа проверяла язык системы перед взломом. Это же подтверждает и анализ от Cybereason Defense. Когда программа-вымогатель запускается на зараженном хосте, она проверяет язык, используя функции GetSystemDefaultUILanguage () и GetUserDefaultLangID (), чтобы избежать систем, расположенных в странах бывшего советского блока.  В комментарии к анализу пользователь обратил внимание, что данные сведения не относятся к информации о локализации систем.Между тем ФБР считает, что DarkSide базируется в России или одной из стран Восточной Европы. Президент США Джо Байден заявил, что свидетельств этому нет, но Россия может нести ответственность за атаки, если киберпреступники действовали с ее территории. Москва отрицает причастность ко взлому. Между тем хакеры из группы DarkSide организовали атаку на французское подразделение японской корпорации Toshiba. Они похитили более 740 гигабайт информации, в том числе о новых бизнес-проектах, а также личные данные. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_kriptografija ( Криптография ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 19:28
Часовой пояс: UTC + 5