Прекращение деятельности хакерской группировки Pink Drainer

Хакерская группировка Pink Drainer, известная на протяжении последних нескольких лет как группа, специализирующаяся на взломах криптовалютных адресов и хищении с них средств. Также Pink Drainer предоставляла услуги взлома сервисов и хищения информации. Группа, известная своими громкими атаками на такие социальные сети, как «X» (Twitter) и Discord, была связана с инцидентами, связанными с Evomos, Pika Protocol и Orbiter Finance. Также группировка известна в связи с причастностью к массовому хищению NFT токенов.

По предварительным оценкам, ущерб от деятельности группировки составляет от $70 до $80 млн, жертвами их атак стали десятки сервисов и более 20 000 частных пользователей криптовалют.

Механизм хищения, используемый группировкой, всегда различен, но чаще всего это массовая рассылка фишинговых ссылок. Финал всегда один: похищенные средства конвертировались в монеты ETH и выводились через криптовалютные миксеры либо сервисы типа Railgun для осложнения отслеживания адресов сервисов, через которые похищенные средства были выведены. Заслуживает внимание, что при совершении ряда взломов представители группировки Pink Drainer выводили средства даже на централизованные биржи, однако до установления личностей хакеров и привлечения их к ответственности вопрос не доходил.

В отличие от других мошенников, Pink Drainer масштабировали свой «бизнес», продавая другим злоумышленникам свое фишинговое программное обеспечение для распространения и хищения средств с условием выплаты им от 25% до 30% от похищенного. Примерно такой же стратегии придерживаются и многие злоумышленники, покупающие вирус-шифровальщик «как сервис», когда они перечисляют часть выплаченного выкупа создателям-разработчикам такого программного обеспечения.

Из числа установленных адресов, принадлежащих группировке, известны, например, адреса, связанные с хищением средств в феврале 2024 года у компании MicroStrategy:

PinkDrainer: Wallet 1 (0x63605E53D422C4F1ac0e01390AC59aAf84C44A51)

С использованием функционала «ШАРД Про» теперь доступна экспозиция входящих и исходящих операций по адресу:

PinkDrainer: Wallet 2 (0x9fA7bB759641FCd37fe4aE41f725e0f653f2C726)

18 мая на своем ресурсе в социальной сети «X» Pink Drainer сделала заявление о возмещении части средств с ограничением по времени в течение последних восьми месяцев, при предоставлении потерпевшими доказательств того, что средства были похищены именно с помощью Pink Drainer:

А уже 20 мая администратор сервиса «Pink Drainer» сообщил о достижении группировкой поставленных целей и решении «уйти на пенсию» и уничтожить всю свою инфраструктуру, использовавшуюся для совершения фишинговых атак. В заключении хакеры добавили, что их уход не улучшит ситуацию с безопасностью в сфере криптовалют, поскольку люди продолжат терять свои средства, доверяясь киберпреступникам и скам-проектам.

Что стоит за декларативным прекращением деятельности хакерской группировки? Полагаем, что здесь много вопросов, во-первых, чаще всего деятельность таких масштабных хакерских проектов контролируется и координируется специальными службами и правоохранительными органами, во-вторых, преступная деятельность такого масштаба это структурированный процесс, целая индустрия со своей теневой инфраструктурой, рынками сбыта и людьми, в-третьих, «успешный» бизнес проект закрывают без видимых причин (достижение порога в $75 млн. маловероятно кого-то останавливал).

В качестве версий, по которым проект сделал заявления о прекращении деятельности:

а) группировка была деанонимизирована частными детективами или правоохранительными органами и по достигнутому соглашению «верхушка группы» сделала такие заявления;

б) ребрендинг, много взломов совершено разными хакерскими группировками, использовавшими программное обеспечение «Pink Drainer» (даже со своими доработками), но не имеющие отношения к его создателям;

в) перегруппировка, передел сфер влияния в этом криминальном бизнесе, либо внутренние противоречия в команде «Pink Drainer».

Считаем, что в сложившейся ситуации этот «показательный уход на пенсию» не снизит число фишинговых атак и объем похищенных ими средств так же не снизится.

Обо всех случаях, связанных с конкретными адресами криптовалюты и рассматриваемыми рисками, Вы можете сообщить на сайте в разделе «Сообщить о подозрительном адресе», чтобы уберечь других пользователей от рисков взаимодействия с такими адресами и их владельцами.