19/11/20
Операторы вымогательского ПО DarkSide, распространяющегося по бизнес-модели «вымогательское ПО как услуга» (RaaS), стали рекламировать расположенное в Иране распределенное хранилище для данных, похищенных у организаций в результате кибератак. Если подобная практика окажется успешной, то ее могут перенять и другие операторы программ-вымогателей. В таком случае организации столкнутся с серьезной проблемой, поскольку это существенно затруднит безопасникам задачу по предотвращению публикации похищенной корпоративной информации.
«Подобные серверы в Иране и других странах труднее обнаружить, заблокировать и изъять из-за недостатка сотрудничества со стороны местных правоохранительных органов», - пояснила изданию DarkReading Виктория Кивилевич, аналитик израильской ИБ-компании KELA, обнаружившей новую преступную схему.
В то же время, хранение украденных данных в распределенной системе упростит киберпреступникам доступ к данным по сравнению с загрузкой файлов через Tor, как это обычно делается сейчас.
«В целом, такой шаг показывает, что разработчики программ-вымогателей активизируют усилия по масштабированию своих операций и формированию сложной экосистемы, предназначенной для нанесения значительного ущерба жертвам», - отметила Кивилевич.
Исследователи безопасности из KELA обнаружили два недавних объявления в блоге операторов DarkSide. В первом объявлении от 11 ноября группировка сообщила о своем намерении создать распределенную систему хранения, которую ее партнеры (или так называемые филиалы) могли бы использовать для хранения похищенных у жертв данных. Реклама гарантирует партнерам, что украденные данные будут храниться не менее шести месяцев.
«Мы уже работаем над устойчивой системой хранения ваших данных. Все ваши данные будут реплицированы между несколькими серверами, и блокировка одного сервера не приведет к удалению данных», - сообщили киберпреступники.
Однако в последующем сообщении операторов DarkSide от 15 ноября группировка призналась, что, возможно, не полностью продумала свои планы по хранению украденных данных на серверах в Иране. Управление по контролю за иностранными активами Министерства финансов США ясно дало понять , что жертвы программ-вымогателей в США могут столкнуться с юридическими проблемами, если они заплатят выкуп преступным группировкам, связанным с организациями или странами (включая Иран) из санкционных списков США.
Как пояснили операторы DarkSide во втором сообщении, похищенные данные в настоящее время не хранятся ни на каких серверах в Иране. По их словам, украденная у жертв вымогательского ПО информация не будет храниться в странах, внесенных в санкционный список правительства США. «Поэтому не беспокойтесь, мы не в санкционных списках и не являемся гражданами Ирана», - говорится в сообщении.
