Пятница, 29 марта, 2024

Хакерская группировка DarkSide провела ребрендинг

Must Read

Криптографические алгоритмы, используемые в инструменте для дешифровки файлов, зашифрованных недавно появившейся кибервымогательской группировкой BlackMatter, указывают на почерк DarkSide. На хакерских форумах BlackMatter заявила о том, что готова заплатить до $100 тыс. за доступ к корпоративным сетям крупных компаний с годовым доходом более $100 млн.

Как сообщает BleepingComputer, у BlackMatter есть уже как минимум одна жертва, заплатившая выкуп в размере $4 млн. за декрипторы для своих Windows- и Linux ESXi-устройств. В распоряжении портала оказался декриптор, который позже проанализировал ИБ-эксперт Фабиан Восар и обнаружил, что BlackMatter использует тот же уникальный метод шифрования, что и DarkSide.

В процессе шифрования данных с использованием криптографического алгоритма Salsa20 разработчик предоставляет первоначальную матрицу из шестнадцати 32-битных слов. Как пояснил Восар, вместо постоянных строк, положения, одноразового случайного числа и ключа для каждого файла DarkSide заполняет каждое слово случайными данными. Эта матрица затем шифруется с помощью открытого RSA-ключа и сохраняется в колонтитуле зашифрованного файла.

Восар объясняет, что матрица Salsa20 ранее использовалась исключительно группировкой DarkSide, как и реализацией RSA-1024, уникальной для ее декриптора. Теперь Salsa20 и реализация RSA-1024 используются группировкой BlackMatter.

Хоть и прямых доказательств нет, но, язык, используемый на сайтах, такое же стремление к вниманию СМИ, похожие цветовые темы для сайтов TOR и публичное заявление об отказе атаковать нефтегазовую промышленность указывает на то, что BlackMatter представляет собой ребрендинг DarkSide, к закрытию операций которого привела атака на топливопровод.

После громкой кибератаки на крупнейшего в США оператора трубопровода Colonial Pipeline правоохранительные органы начали настоящую охоту на DarkSide. В мае нынешнего года группировка внезапно лишилась доступа к своим серверам и криптовалютным активам, которые оказались захвачены неизвестными, и была вынуждена заявить о прекращении своих операций. Как стало известно позднее, ФБР удалось отобрать у DarkSide 63,7 биткойна из 75, заплаченных Colonial Pipeline вымогателям за восстановление файлов.

Лента

Граждан Казахстана призвали покинуть Одесскую и Харьковскую области 

Дипломатическое представительство Казахстана призвало своих граждан покинуть территорию Одесской и Харьковской областей. Об этом сообщается в соответствующем заявлении на...

Актуально