כואב הלב: האקרים שהיו ”עובדי קבלן” במתקפות כופר מתלוננים על ”הלנת שכר”

קבוצת ההאקרים Darkside עשתה הרבה מאוד כסף בתקופה הקצרה שבה פעלה. עכשיו טוענים תוקפים שעבדו בתוכנית השותפים שלה – שלא קיבלו את כספם במה שנראה כמו משפט

מקור: Pixabay

קבוצת ההאקינג DarkSide עלתה לכותרות בשבועות האחרונים אחרי שהשביתה את צינור הנפט של חברת Colonial – הצינור הגדול ביותר בחוף המזרחי בארה”ב – וחברת הפצת כימיקלים בעזרת תוכנות כופר, והרוויחה מכך מיליוני דולרים. אבל עכשיו נראה שכל הנכסים הדיגיטליים שלה נעלמו מהרשת – והאקרים שעבדו איתה כ”עובדי קבלן” דורשים את התשלום שמגיע להם.

“בית המשפט” של ההאקרים מתכנס

על פי נתוני Chainalysis, הכניסה לקופתה קבוצת DarkSide לא פחות מ-60 מיליון דולר בשבעה חודשי הפעילות שלה, כשבשלושת החודשים הראשונים של 2021 לבדם הכניסה הקבוצה 46 מיליון דולר ממתקפות כופר שבוצעו בעזרתה. הקבוצה עובדת במודל RaaS (או Ransomware as a Service), שכולל תוכנית שותפים – Affiliate. עמרי שגב-מויאל, מנכ”ל חברת טיפול במשברי הסייבר Profero, מסביר בשיחה עם גיקטיים כי RaaS הוא מודל עסקי של לא מעט מפתחי ומפעילי תוכנות כופר: “זה עובד ממש כמו SaaS של העולם האפל יותר, כלומר כמו שמישהו משכיר שירותי תוכנה לגיטימיים, כך אפשר בצורה די קלה, דרך גישה לפורומים ומספר מקורות נוספים, להשכיר תוכנת כופר ותשתית קצה לקצה”.

לדברי שגב-מויאל, חוץ מהקוד של הנוזקה, התוקף שמשתמש בשירות מקבל את כל הכלים להם הוא יזדקק, והוא בתמורה משתף את המפתחים ברווחים: “לפעמים גם משלמים תשלום מראש או חודשי בנוסף לחלוקת הרווחים. לחלקם אפילו יש תמיכה בכל שעות היממה”. השמות המוכרים ביותר בתחום הם REvil, ובישראל, הקבוצה הפעילה ביותר Dharma: “ראינו לא מעט חברות (בעיקר קטנות) שספגו התקפות כאלה דרך שרתי RDP פתוחים” מספר שגב-מויאל.

בחזרה לדארקסייד, שהחלה לגייס בנובמבר בפורום ההאקינג xss.is. החברה הציעה ל”שותפים” שלה בתוכנית ה-Affiliate כ-75% מהרווחים במתקפות שמכניסות עד חצי מיליון דולר. הנתח הזה גדל עוד יותר, ויכול להגיע עד ל-90% מסכום הכופר, כשמדובר במתקפות של יותר מ-5 מיליון דולר.

פנקו את הטלגרם שלכם עם ערוץ הטכנולוגיה הגדול בארץ פנקו את הטלגרם שלכם עם ערוץ הטכנולוגיה הגדול בארץ הצטרפו לערוץ גיקטיים בטלגרם

הבעיה התחילה בשבוע שעבר, כשהקבוצה נעלמה מהרשת. משתמש בשם darksupp, ככל הנראה אחד מחברי דארקסייד – שגייס האקרים במסגרת ה-RaaS של הקבוצה, פרסם פוסט ברוסית ובו נכתב כי דארקסייד איבדה גישה לכל התשתית שלה. על פי הפוסט, דארקסייד איבדה גישה לכל השרתים ששימשו אותה ואחזקות של “כמות משמעותית של ביטקוין”, שאותו גבתה במסגרת מתקפות הכופר שביצעה. “נכון לעכשיו, לא ניתן לגשת לשרתים הללו דרך SSH (פרוטוקול Shell מאובטח)”, נכתב בפוסט.

אחרי ההודעה של דארקסייד על כך שאיבדה גישה לנכסיה, החלו לצוץ כמה וכמה “האקרי קבלן” ב-xss שבאו להתלונן על כך שדארקסייד לא שילמה להם את מה שמגיע להם ולא עמדה בתנאי תוכנית ה-Affiliate שלה, למרות שהם ראו שהכסף נכנס לארנק של הקבוצה – וכעת היא נעלמה.

התלונות בפורום עברו, כך נראה, למישור “משפטי”, כשמנהלי הפורום מתייחסים להאקרים שלא קיבלו תשלום כ”תובעים” בזמן שקבוצת ההאקינג זכתה לכינוי “ההגנה” – במה שנראה כמו הדבר הכי קרוב לבית משפט של הדארקנט. מנהלי הפורום אף מחזיקים בחשבון שבו הפקידה דארקסייד כספים ומשלמים דרכו פיצויים להאקרים שהתלוננו על הפגיעה בזכויותיהם במסגרת ההסכמים עם הקבוצה.

חשוב לסייג כי לא ברור עד כמה מדובר בתופעה אמיתית או בהצגה כלשהי שמבצעים אנשים הפורום ואולי גם חברי קבוצת ההאקינג כדי לנסות ולהסיט את האש מהם. בסופו של דבר מדובר בפורום שככל הנראה מנוטר לא מעט ע”י רשויות כאלה ואחרות וחברות סייבר שמנסות להכיר את האויב, כך שבסופו של דבר זו יכולה להיות גם פעולת הסוואה בלבד. אולם התופעה עצמה קיימת ובולטת.

“מרגיש כמו שירת הברבור של הפצת תוכנות הכופר”

שגב-מויאל מספר כי לא רבים הכירו את הקבוצה עד לאחרונה: “אין בה משהו מיוחד מאוד, עד לפני הפריצה לצינור הנפט רוב התעשייה אפילו לא הכירה אותם. ברגע שאחד מה-Affiliates שלהם פגע ב-Colonial – אז הם ‘הסתבכו'”.

לדבריו, בעקבות המלחמות בשוק ה-Ransomware, והירידה במספר הקורבנות הפוטנציאלים, רואים יותר פגיעות במטרות קריטיות כמו בתי חולים ואפילו אספקת דלק כמו ב-Colonial. “מרגיש שזאת תחילת של שירת הברבור של שיא הפצת תוכנות הכופר” מספר שגב-מויאל ומוסיף: “השאלה לאן אותם תוקפים יפנו עכשיו. יש טרנד חזק של חדירה לשירותי ענן, אבל נראה מה יוליד יום”.

 

 

 

אושרי אלקסלסי

Your Friendly Neighborhood Geek. יש לכם סיפור טכנולוגי? דברו איתי: Oshry@geektime.co.il

הגב

2 תגובות על "כואב הלב: האקרים שהיו ”עובדי קבלן” במתקפות כופר מתלוננים על ”הלנת שכר”"

avatar
Photo and Image Files
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
עמיקם
Guest

מציע לשנות את הכותרת ל: “קבוצה של עבריינים נעלמה בלי לשלם תמלוגים לספקים של כלי הפריצה”
מי נותן אשראי לעבריינים?
מה הלאה? מחבל מתאבד שקונה חגורת נפץ ישלם רק אחרי שנראה שהחגורה עובדת

גאוני
Guest

לדפוק את הדפוקים

wpDiscuz

תגיות לכתבה: