El Departamento de Justicia recupera 2,3 millones de dólares pagados por Colonial Pipeline a una banda de ransomware – Krebs on Protection


La Departamento de EE. UU. de Justicia dijo hoy que ha recuperado $ 2.3 millones en Bitcoin que Oleoducto colonial pagado a extorsionistas de ransomware el mes pasado. Los fondos se habían enviado a Lado oscuro, un sindicato de ransomware como servicio que se disolvió después de un mensaje de despedida el 14 de mayo a los afiliados diciendo que sus servidores de Net y el alijo de criptomonedas fueron confiscados por entidades policiales desconocidas.

El 7 de mayo, la banda de ransomware DarkSide lanzó su ataque contra Colonial, que finalmente pagó 75 Bitcoin (~ $ 4,4 millones) a sus torturadores. La compañía dijo que los atacantes solo atacaron sus redes de TI comerciales, no sus sistemas de seguridad y protección de tuberías, pero que cerraron la tubería de todos modos como medida de precaución (varias publicaciones señalaron que Colonial cerró su tubería porque su sistema de facturación se vio afectado, y había no hay forma de cobrar).

El 14 de mayo o alrededor de esa fecha, el representante de DarkSide en varios foros de ciberdelincuencia en ruso publicó un mensaje diciendo que el grupo estaba renunciando.

“Se confiscaron servidores, se transfirió dinero de anunciantes y fundadores a una cuenta desconocida”, decía el mensaje de despedida. «El soporte de alojamiento, aparte de la información &#39a solicitud de las agencias de aplicación de la ley&#39, no proporciona ninguna otra información».

Un mensaje de los programas afiliados de crímenes cibernéticos de ransomware como servicio DarkSide y REvil.

Muchos expertos en seguridad dijeron que sospechaban que DarkSide simplemente se mantuvo oculto por un tiempo gracias al calor del ataque colonial, y que el grupo reaparecería bajo una nueva bandera en los próximos meses. Y si bien eso puede ser cierto, la incautación anunciada hoy por el Departamento de Justicia ciertamente respalda las afirmaciones del administrador de DarkSide de que su cierre fue involuntario.

Las empresas de seguridad han sospechado durante meses que la pandilla DarkSide comparte cierto liderazgo con la de REvil, también conocida como Sodinokibi, otra plataforma de ransomware como servicio que cerró sus puertas en 2019 después de presumir que había extorsionado más de $ 2 mil millones a las víctimas. Esa sospecha se solidificó aún más cuando el administrador de REvil agregó sus comentarios al anuncio sobre el cierre de DarkSide (ver captura de pantalla arriba).

DarkSide, que apareció por primera vez en los foros de piratería en ruso en agosto de 2020, es una plataforma de ransomware como servicio que los ciberdelincuentes examinados pueden utilizar para infectar empresas con ransomware y llevar a cabo negociaciones y pagos con las víctimas. DarkSide dice que se dirige solo a las grandes empresas y prohíbe a los afiliados lanzar ransomware en organizaciones de varias industrias, incluida la atención médica, los servicios funerarios, la educación, el sector público y las organizaciones sin fines de lucro.

De acuerdo a un análisis publicado el 18 de mayo por la firma de seguridad de criptomonedas Elíptico, 47 víctimas de delitos cibernéticos pagaron a DarkSide un full de $ 90 millones en Bitcoin, lo que sitúa el pago promedio de rescate de las víctimas de DarkSide en apenas $ 2 millones.

¿CÓMO LO HICIERON?

El DoJ anuncio dejó abierta la cuestión de cómo exactamente pudo recuperar una parte del pago realizado por Colonial, que cerró su oleoducto de combustible de Houston a Nueva Inglaterra durante una semana y provocó largas colas, aumentos de precios y escasez de gasolina en las estaciones de servicio de todo el país. .

El Departamento de Justicia dijo que la policía pudo rastrear múltiples transferencias de bitcoins e identificar que aproximadamente 63.7 bitcoins (~ $ 3.77 millones el 8 de mayo), «que representan los ingresos del pago del rescate de la víctima, se habían transferido a una dirección específica, para lo cual el FBI tiene la &#39clave privada&#39 o el equivalente aproximado de una contraseña necesaria para acceder a los activos accesibles desde la dirección de Bitcoin específica «.

Un pasaje del comunicado de prensa del DOJ de hoy.

Cómo llegó a tener esa clave privada es la cuestión clave. Nicholas Weaver, profesor del departamento de informática de Universidad de California, Berkeley, dijo que la explicación más possible es que el agente de la policía confiscó dinero de un afiliado específico de DarkSide responsable de brindarle a la banda criminal el acceso inicial a los sistemas de Colonial.

«La parte de &#39obtuvo la clave privada&#39 de su declaración está haciendo mucho trabajo», dijo Weaver, y señaló que la cantidad que el FBI recuperó fue menor que la cantidad full que Colonial pagó.

«Es ÚNICAMENTE el rescate de Colonial Pipeline, y parece ser solo el pago del afiliado».

Los expertos de Elliptic llegaron a la misma conclusión.

«Cualquier pago de rescate realizado por una víctima se divide entre el afiliado y el desarrollador», escribe Cofundador de Elliptic Tom Robinson. «En el caso del pago de rescate de Colonial Pipeline, el 85% (63,75 BTC) fue para el afiliado y el 15% para el desarrollador de DarkSide».

La administración de Biden está bajo una presión cada vez mayor para hacer algo con respecto a la epidemia de ataques de ransomware. Junto con la acción de hoy, el DOJ llamó la atención sobre las victorias de su grupo de trabajo de ransomware y extorsión digital, que han incluido el enjuiciamiento exitoso de los delincuentes detrás de amenazas como las cepas de ransomware Netwalker y SamSam.

El DOJ también lanzó una nota del 3 de junio de Fiscal Typical Adjunta Lisa O. Monaco instruir a todos los fiscales federales para que se adhieran a las nuevas pautas que buscan centralizar los informes sobre las víctimas de ransomware.

Tener un lugar central para que las agencias policiales y de inteligencia se reunieran y actuaran frente a las amenazas de ransomware fue una de las recomendaciones clave de un grupo de trabajo de ransomware dirigido por algunas de las principales empresas de tecnología del mundo. En un informe de 81 páginas, el grupo de trabajo liderado por la industria pidió una coalición internacional para combatir a los criminales de ransomware y una purple worldwide de centros de investigación. Sus recomendaciones se centran principalmente en interrumpir las bandas de ransomware ciberdelincuentes limitando su capacidad para recibir pagos y apuntando a las personas y las finanzas de los ladrones organizados detrás de estos delitos.



Enlace a la noticia unique