Tuntemattomat toimijat näyttävät sulkeneen hakkeriryhmä Darksiden serverit vain noin viikko sen jälkeen, kun venäläistaustainen ryhmä oli aiheuttanut kyberhyökkäyksellä tärkeän polttoaineputkilinjaston sulkemisen Yhdysvaltain itärannikolla. Colonial Pipelinen linjaston sulku ehti aiheuttaa polttoainepulaa ja paniikkiostamista.
Yhdysvaltalainen kyberturvallisuusyritys Recorded Future kertoi Darksiden myöntäneen verkkosivustolle jätetyssä kommentissa menettäneensä pääsyn joihinkin infrastruktuurinsa julkisiin osiin, muun muassa blogiin ja maksuservereihin. Päivityksen on nähtävästi tehnyt Darksupp, jonka kuvaillaan olevan ryhmän operaattori.
Recorded Futuren mukaan Darksiden edustaja oli myös sanonut, että ryhmän servereiltä oli viety kryptovaluuttana tehtäviä lunnasmaksuja. Tietoturva-alalla viime vuoden lopulla tunnetuksi tullut Darkside on tehnyt yrityksiin kohdistuvia, kiristyshaittaohjelmilla tehtyjä hyökkäyksiä, joissa kohteilta kiristetään rahaa vastineeksi haittaohjelmien salaamien tiedostojen palauttamisesta.
Kun Darksiden sivuille oli yrittänyt päästä Tor-verkon kautta, oli sivusto näyttänyt ilmoituksen, ettei sitä löydy.
Kyberturvallisuusyritysten mukaan Darksiden toiminta näyttäisi loppuneen, mutta on mahdollista, että ryhmä nousee uudelleen esiin toisella nimellä. On myös mahdollista, että muut toimijat jatkavat Darksiden ohjelmien käyttämistä.
Kiristyshyökkäyksiä ollut myös muualla
Spekulaatiot Darksiden serverien kaatajasta ovat käyneet kuumina. Osa on epäillyt Yhdysvaltain puolustusministeriön alaisen USCYBERCOM:n olleen sulun takana. USCYBERCOM:n komentaja Paul Nakasone ei ollut kuitenkaan suostunut kertomaan mahdollisista Darksideen kohdistuvista toimista perjantaina edustajainhuoneen kuulemisessa.
Ransomwarella eli kiristyshaittaohjelmilla tehtäviä hyökkäyksiä on ollut viime aikoina useampiakin. Darkside esimerkiksi väitti uutiskanava CNBC:n mukaan keskiviikkona hyökänneensä kolmen muun yrityksen kimppuun.
Irlannissa puolestaan terveydenhuoltoviranomaiset joutuivat perjantaina sulkemaan tietojärjestelmänsä kiristysohjelman vuoksi. Potilastietoja ei kuitenkaan joutunut vääriin käsiin, viranomaiset vakuuttivat. Myös muun muassa hätäpuhelut toimivat normaalisti. Pääministerin kanslian edustaja kuitenkin varoitteli terveydenhuollon tilanteen kääntyvän todella vakavaksi, jos hyökkäystä ei saada lopetettua ennen maanantaita.
Toisaalla Babuk-nimellä kulkeva kiristysryhmä on julkaissut Washingtonin metropolialueen poliisilaitokselta varastettuja arkaluonteisia tiedostoja. Ryhmä on yrittänyt kiristää poliisilta miljoonasummaa.
Colonialin huhutaan maksaneen Darksidelle
Colonial Pipeline kertoi aloittaneensa linjastonsa uudelleenkäynnistämisen Suomen aikaa puoliltaöin torstain vastaisena yönä. Linjastolla on mittaa vajaat 8 900 kilometriä ja sen läpi kulkee 45 prosenttia Yhdysvaltain itärannikolla käytettävästä polttoaineesta.
Bloombergin mukaan yhtiö maksoi kiristäjille viisi miljoonaa dollaria, vaikka se oli aiemmin kiistänyt maksavansa lunnaita. Bloombergin mukaan yhtiö suoritti maksun vaikeasti jäljitettävällä kryptovaluutalla vain muutama tunti kyberhyökkäyksen jälkeen.
Kryptovaluuttaliiketoimintaan erikoistunut Elliptic kertoi päässeensä yhden Darksiden käyttämän bitcoin-lompakon jäljille. Ellipticin mukaan lompakkoon oli kilahtanut viime viikon lauantaina 75 bitcoinin maksu Colonialilta. Summa vastaa noin 3,8 miljoonaa dollaria eli reilua 3,1 miljoonaa euroa.
Kaikkiaan maaliskuusta aktiivisena olleeseen lompakkoon oli ehtinyt kertyä yli 57 bitcoin-maksua, joiden yhteisarvo oli 17,5 miljoonaa dollaria eli noin 14,4 miljoonaa euroa.
Yhdysvaltain presidentti Joe Biden on kertonut ottavansa Colonialin hyökkäyksen esille hänen ja Venäjän presidentin Vladimir Putinin tulevassa tapaamisessa, vaikka yhdysvaltalaiset tiedusteluviranomaiset eivät olekaan löytäneet suoraa linkkiä Darksiden ja Venäjän hallinnon välillä.
Lue lisää:
Venäjä kiisti olevansa USA:ssa öljyputkeen kohdistetun kyberhyökkäyksen takana(11.5.)
Kyberhyökkäys sulki Yhdysvaltain suurimman polttoaineen siirtoon tarkoitetun putkilinjaston(9.5.)