На сегодня известно о том, что именно блокировку системы управления Colonial Pipeline выполнила хакерская группа DarkSide. Собственно говоря, атака именно с целью вымогательства обязывает хакеров как-то представляться. Те, кто промышляют кражей данных, наоборот стараются оставить как можно меньше следов и получив доступ к данным, тянут их незаметно и долго. В данном же случае все происходит иначе.

Целью такого рода атаки является максимальное привлечение внимания к себе для того, чтобы жертва понимала масштаб последствий и серьезность намерений злоумышленника. По сути, они копируют тактику террориста с бомбой, который выдвигает свои требования в обмен на обещание не взрывать бомбу. В таком раскладе жертва должна понимать, что бомба таки существует. 

Для этого террорист может взорвать что-то незначительное, чтобы показать реальность своих угроз. Но самое главное, террорист должен убедить жертву в том, что он готов не просто взорвать бомбу, но сделать это так, чтобы последствия оказались неприемлемо тяжелыми. Только в таком случае он может настаивать на выполнении своих требований.

Здесь – та же самая ситуация. Злоумышленники показывают свою способность нанести максимальный ущерб и готовность на него пойти, если требования будут проигнорированы. Причем, подготовка атаки ведется таким образом, чтобы вычислить их достаточно быстро было невозможно, и уж тем более, в промежутке времени, когда они обещают нанести максимальный ущерб.

В таком случае они действуют примерно одинаково. Получив доступ к неким критическим данным, они шифруют их собственным, тяжелым для вскрытия кодом и владелец теряет к ним доступ. Злоумышленник присылает жертве доказательство того, что он контролирует эти данные, например – демонстрирует какой-то закрытый документ или же показывает логин-пароль лица, имеющего наивысший уровень доступа к данным. Это дает представление жертве о том, что хакеры действительно имеют на руках все критические данные.

Дальше – просто. Хакеры выдвигают какие-то требования, чаще всего – материального характера и обещают вернуть доступ к данным, если их требования будут удовлетворены. В противном случае они обещают либо полностью уничтожить критические данные, либо часть из них выложить в публичный доступ, если таковые демонстрируют жертву в неприглядном свете. 

При этом, злоумышленники изначально готовы к тому, что жертва обратится к правоохранительным органам и что дальнейшая игра будет происходить с их участием. Обычно такие вещи оглашаются публично и это становится лучшей рекламой для хакерской группы, поскольку инцидент получает первые полосы прессы и они демонстрируют себя настолько крутыми, что бодаются уже не с лоховатыми «бизнюками», а с правительственными структурами кибербезопасности и при этом, чувствуют себя спокойно и уверенно. В случае удачного (для них) завершения этой атаки, следующая жертва уже будет более сговорчивой.

Но во всей этой схеме есть два момента, делающие всю эту операцию, в плане мотивов, не такой уж и монолитной. Первый из них состоит в том, что хакеры, наподобие DarkSide, лично разрабатывают инструментарий именно по изоляции данных жертвы и заметанию следов, которые могут привести к ним правоохранительные органы. А вот сам взлом системы и создание там окна для входа делают другие специалисты. 

(Окончание следует)