imágenes falsas
El FBI dijo que ha incautado 2,3 millones de dólares pagados a los atacantes de ransomware que paralizaron la red de Colonial Pipeline y provocaron interrupciones en el suministro de gasolina y combustible para aviones en toda la costa este el mes pasado.
En dólares, la suma representa aproximadamente la mitad de los 4,4 millones de dólares que Colonial Pipeline pagó a los miembros del grupo de ransomware DarkSide tras el ataque del 7 de mayo, The Wall Street Journal. informó, citando al director ejecutivo de la empresa. La herramienta de descifrado DarkSide era ampliamente conocida por ser lenta e ineficaz, pero Colonial pagó el rescate de todos modos. En la entrevista con el WSJ, el CEO Joseph Blount confirmó que las deficiencias impidieron que la empresa lo usara y, en cambio, tuvo que reconstruir su red por otros medios.
Cortar el suministro de oxígeno
El lunes, el Departamento de Justicia de EE. UU. dicho había rastreado 63,7 de los aproximadamente 75 bitcoins que Colonial Pipeline pagó a DarkSide, que, según la administración de Biden, probablemente se encuentra en Rusia. La incautación es notable porque marca una de las raras ocasiones en que una víctima de ransomware ha recuperado los fondos que pagó a su atacante. Los funcionarios del Departamento de Justicia cuentan con su éxito para eliminar un incentivo clave para los ataques de ransomware: los millones de dólares que los atacantes pueden ganar.
“Hoy, privamos a una empresa delictiva cibernética del objeto de su actividad, sus ganancias financieras y financiación”, dijo el subdirector del FBI, Paul M. Abbate, en una conferencia de prensa. “Para los ciberdelincuentes motivados financieramente, especialmente aquellos que presuntamente se encuentran en el extranjero, cortar el acceso a los ingresos es una de las consecuencias más impactantes que podemos imponer”.
Los funcionarios del Departamento de Justicia no dijeron cómo obtuvieron la moneda digital, aparte de decir que la incautaron de una billetera bitcoin a través de documentos judiciales presentados en el Distrito Norte de California. La incautación es una victoria muy necesaria por parte de las fuerzas del orden público en su esfuerzo cuesta arriba para frenar la epidemia de ransomware, que está afectando a gobiernos, hospitales y empresas, muchos de los cuales proporcionan infraestructura o servicios críticos, con una regularidad cada vez mayor.
La incautación es consistente con declaraciones de hace casi cuatro semanas atribuidas a un líder del equipo DarkSide. Sin proporcionar pruebas, la publicación afirmaba que el sitio web del grupo y la infraestructura de distribución de contenido habían sido incautados por las fuerzas del or den, junto con todas las criptomonedas que había recibido de las víctimas.
De ser cierto, la incautación representaría una pequeña fortuna. Según las cifras publicadas recientemente por la firma de seguimiento de criptomonedas Chainalysis, DarkSide obtuvo al menos $ 60 millones en sus primeros siete meses a partir de agosto pasado, de los cuales $ 46 millones en los primeros tres meses de este año. Si bien se corrobora que la policía ha obtenido, de hecho, que mucho no es posible, la divulgación del lunes muestra que recibió al menos algunos activos digitales de DarkSide.
Durante la conferencia del lunes, los funcionarios del Departamento de Justicia dijeron que habían rastreado a 90 víctimas que habían sido golpeadas por DarkSide.
Pagando con bitcoin en lugar de monero
Durante el año pasado, el ransomware ha pasado de representar un riesgo financiero a uno que tiene el potencial de interrumpir servicios críticos y causar la muerte. En varias ocasiones, las infecciones que afectaron a los hospitales provocaron cortes que obligaron a los hospitales a cancelar cirugías electivas o desviar a los pacientes de emergencia a instalaciones cercanas. La semana pasada, JBS, el mayor productor de carne del mundo, cerró temporalmente las instalaciones en los EE. UU. Y en otros lugares después de perder el control de su red ante un grupo de ransomware conocido como REvil.
El éxito de la aplicación de la ley intensifica la especulación de que Colonial Pipeline pagó el rescate no para obtener acceso a un descifrador que sabía que tenía errores, sino para ayudar al FBI a rastrear DarkSide y su mecanismo para obtener y lavar rescates.
La especulación se ve reforzada por el hecho de que Colonial Pipeline pagó en bitcoin, a pesar de que esa opción requiere un 10 por ciento adicional agregado al rescate. Bitcoin es pseudoanónimo, lo que significa que si bien los nombres no se adjuntan a las billeteras digitales, las billeteras y las monedas que almacenan aún se pueden rastrear.
Es posible que Colonial Pipeline eligiera pagar el rescate más alto a instancias de las fuerzas del orden porque se podía rastrear bitcoin y monero, la otra moneda aceptada por DarkSide, es completamente imposible de rastrear. Incluso si ese es el caso, no está claro cómo la policía obtuvo posesión de la clave criptográfica necesaria para vaciar la billetera.
“Como se alega en la declaración jurada de respaldo, al revisar el libro mayor público de Bitcoin, la policía pudo rastrear múltiples transferencias de bitcoin e identificar que aproximadamente 63.7 bitcoins, que representan los ingresos del pago del rescate de la víctima, se habían transferido a una dirección específica, por que el FBI tiene la ‘clave privada’, o el equivalente aproximado de una contraseña necesaria para acceder a los activos accesibles desde la dirección específica de Bitcoin “, indicó el comunicado del lunes. “Este bitcoin representa ganancias rastreables a una intrusión de computadora y propiedad involucrada en lavado de dinero y puede ser incautado de conformidad con los estatutos de decomiso penal y civil”.
Con la mayoría de los grupos de ransomware con sede en Rusia u otros países de Europa del Este sin tratados de extradición con las naciones occidentales, los funcionarios estadounidenses se han visto obstaculizados en gran medida en sus esfuerzos por llevar a los atacantes ante la justicia. Es demasiado pronto para saber si las técnicas que permitieron a los funcionarios rastrear los fondos que Colonial Pipeline pagó a DarkSide pueden usarse en investigaciones de otros ataques de ransomware. Si lo hacen, la aplicación de la ley puede haber obtenido una herramienta poderosa cuando más se necesitaba.