Departament Stanu USA ogłasza nagrodę w wysokości do 10 000 000 USD za informacje prowadzące do identyfikacji lub lokalizacji każdej osoby, która zajmuje kluczowe stanowisko w międzynarodowej zorganizowanej grupie będącej odpowiedzialną za popularny ransomware – DarkSide.
I nie chodzi im tylko o członków grupy przestępczej.
Departament Stanu oferuje również nagrodę w wysokości do 5 milionów USD za informacje prowadzące do aresztowania i/lub skazania w dowolnym kraju dowolnej osoby spiskującej lub próbującej uczestniczyć w incydencie z oprogramowaniem ransomware związanym z wariantem DarkSide. Ta zachęta wydaje się mieć na celu przechwycenie wszystkich podmiotów współpracujących z grupą i penetrujących sieci ofiar w celu ostatecznego wdrożenia omawianego oprogramowania ransomware.
Departament Stanu zarządza dwoma amerykańskimi programami rządowymi, które oferują nagrody w wysokości do 25 milionów dolarów za informacje prowadzące do aresztowania i/lub skazania członków znaczących międzynarodowych organizacji przestępczych oraz zakłócania innych form międzynarodowej przestępczości zorganizowanej. Jednak taka nagroda w świecie cyberprzestępczości to jak na razie ewenement na skalę światową.
DarkSide
Uważa się, że DarkSide wywodzi się z Federacji Rosyjskiej lub Ukrainy i po raz pierwszy został zaobserwowany jako atak w sierpniu 2020 roku – jest uważany za produkt grupy FIN7.
DarkSide zaatakował wiele organizacji rządowych na Bliskim Wschodzie, w Europie i Stanach Zjednoczonych, ale najbardziej znany jest ze swojej roli w ataku na rurociąg Colonial. Atak w maju 2021 r. spowodował zamknięcie największego rurociągu paliwowego na wschodnim wybrzeżu Stanów Zjednoczonych, i dlatego rząd USA postanowił zająć się oprogramowaniem ransomware raz a dobrze. O atakach z wykorzystaniem ransomware DarkSide pisaliśmy tutaj.
Oprogramowanie DarkSide było sprzedawane przy użyciu modelu dystrybucji Ransomware-as-a-Service (RaaS), więc ataki były przeprowadzane przez podmioty stowarzyszone, a nie przez twórców malware. Podobnie jak wiele innych nowoczesnych rodzin oprogramowania ransomware, DarkSide był w większości obsługiwany ręcznie. Oznacza to, że ransomware został uruchomiony przez faktyczną osobę znajdującą się za ekranem, zaraz po udanej infiltracji sieci docelowej. Takie ataki skupiają się na wyciąganiu ogromnych okupów od stosunkowo niewielkiej liczby ofiar, a nie na wyciąganiu małych okupów od dużej liczby ofiar, co było bardziej powszechne w przeszłości.
Przestępcy mogą spędzić tygodnie, a nawet miesiące w sieciach ofiar, zanim ostatecznie uruchomią oprogramowanie ransomware. Korzystają wtedy z technik rekonesansu, poruszania bocznego, eskalacji uprawnień, usuwania kopii zapasowych i pozostawiania otwartych furtek w podatnych systemach (tzw. backdoorów). Gdy atakujący ma już poświadczenia administratora i dostęp do systemów o znaczeniu krytycznym dla firmy, wdraża DarkSide.
Grupa DarkSide ogłosiła, że rezygnuje z działalności po przejęciu niektórych jej serwerów i adresów portfeli Bitcoin, a jej blog DarkSide Leaks został zamknięty. Uważano, że jest to dzieło rządu USA, lokalnych organów ścigania lub innych gangów, które chcą czerpać zyski z upadku DarkSide.
Motywacja
Jedno pytanie, które od razu przychodzi do głowy – dlaczego rząd USA miałby oferować taką nagrodę dla członków organizacji, która oficjalnie już nie istnieje?
Oficjalnie oświadczenie prasowe mówi nam, że oferując tę nagrodę, Stany Zjednoczone demonstrują swoje zaangażowanie w ochronę ofiar oprogramowania ransomware na całym świecie. Ponadto wymienia incydent Colonial Pipeline jako doskonały przykład tego, jak destrukcyjne mogą być takie ataki.
Ale biorąc pod uwagę czas i prawdopodobieństwo zatrzymania jednego z kluczowych graczy, uzasadnione jest spekulowanie na temat możliwych innych motywów. Jednym ze sposobów na zakłócenie branży oprogramowania ransomware może być podsycanie rosnącej nieufności między grupami i ich podmiotami stowarzyszonymi.
Po niedawnym odkryciu nowego dostawcy i twórcy ransomware – BlackMatter, wielu specjalistów od bezpieczeństwa uważa, że może to być ta sama grupa próbująca ukryć się pod nową nazwą. Łatwo możemy sobie wyobrazić, że posiadanie noty pościgowej o wartości 10 milionów dolarów na głowie może nieco przestraszyć. Zarówno samych dystrybutorów ransomware, ale też potencjalnych partnerów chcących infekować tą rodziną złośliwego oprogramowania.
Wprowadzając niepokoje i rozpowszechniając dezinformację wśród grup oprogramowania ransomware i ich podmiotów stowarzyszonych, rząd USA może mieć nadzieję na spowolnienie operacji. A idąc za kluczowymi graczami grupy i ich podmiotami stowarzyszonymi, mogą wzbudzić pewną ostrożność u operatorów w momencie, gdy wybierają cel.
Jeśli chodzi natomiast to wielkość nagrody, to zapewne powody mogą być tutaj dwa.
Po pierwsze, zrobienie globalnego zamieszania medialnego i stworzenie pewnego rodzaju nagonki na gangi ransomware. Być może inne rządy lub podmioty ds. cyberbezpieczeństwa pójdą w ślady USA i też zaczną efektywnie ścigać grupy cyberprzestępcze.
Po drugie, wysoka nagroda może być przeciwwagą dla ewentualnych okupów, których żądają operatorzy ransomware od swoich ofiar. Być może bardziej będzie się opłacało komuś zgłosić się do Departamentu Stanu USA niż zapłacić okup.