Tecnología

Estados Unidos incauta $ 2.3 millones de Colonial Pipeline pagados a atacantes de ransomware

Estados Unidos incauta $ 2.3 millones de Colonial Pipeline pagados a atacantes de ransomware

imágenes falsas

El FBI dijo que confiscó 2,3 millones de dólares pagados a los atacantes de ransomware que paralizaron la red Colonial Pipeline e interrumpieron el suministro de gasolina y combustible para aviones a lo largo de la costa este el mes pasado.

En términos de dólares, la cantidad es aproximadamente la mitad de los 4,4 millones de dólares que Colonial Pipeline pagó a los miembros del grupo de ransomware DarkSide después del ataque del 7 de mayo, informó el Wall Street Journal, citando al director ejecutivo de la compañía. En general, se sabía que la herramienta de descifrado DarkSide era lenta e ineficaz, pero Colonial pagó el rescate de todos modos. En una entrevista con el WSJ, el director ejecutivo Joseph Blount confirmó que las deficiencias impidieron que la empresa lo aprovechara y, en cambio, tuvo que reconstruir su red de otras formas.

Cortar el suministro de oxígeno

El lunes, el Departamento de Justicia de EE. UU. Dijo que había rastreado 63,7 de los aproximadamente 75 Bitcoins Colonial Pipeline pagados a DarkSide, que, según el gobierno de Biden, probablemente estén ubicados en Rusia. La incautación es digna de mención, ya que es uno de los raros casos en los que una víctima de ransomware recupera los fondos que le pagó a su atacante. Los funcionarios del Departamento de Justicia cuentan con su éxito para eliminar un incentivo importante para los ataques de ransomware: los millones de dólares que los atacantes pueden ganar.

«Hoy hemos privado a una empresa ciberdelincuente de su actividad, sus ingresos económicos y su financiación», dijo el subdirector del FBI Paul M. Abbate en una conferencia de prensa. «Para los ciberdelincuentes motivados financieramente, especialmente aquellos presuntamente en el extranjero, prohibir el acceso a los ingresos es una de las consecuencias más poderosas que podemos imponer».

Los funcionarios del Departamento de Justicia no dijeron cómo obtuvieron la moneda digital, excepto que la confiscaron de una billetera de Bitcoin a través de documentos judiciales presentados en el Distrito Norte de California. La incautación es una victoria muy necesaria para los organismos encargados de hacer cumplir la ley en sus esfuerzos por contener la epidemia de ransomware que afecta a gobiernos, hospitales y empresas, muchos de los cuales proporcionan infraestructura o servicios críticos, con una frecuencia cada vez mayor.

La incautación es consistente con declaraciones de hace poco menos de cuatro semanas atribuidas a un líder de equipo de DarkSide. Sin proporcionar pruebas, la publicación afirmaba que el sitio web del grupo y la infraestructura de distribución de contenido, junto con todas las criptomonedas que recibió de las víctimas, habían sido incautadas por las fuerzas del orden.

Si es así, la incautación representaría una pequeña fortuna. Según cifras publicadas recientemente por la firma de seguimiento de criptomonedas Chainalysis, DarkSide recaudó al menos $ 60 millones en los primeros siete meses desde agosto del año pasado, incluidos $ 46 millones en los primeros tres meses de este año. Si bien la policía confirma que, de hecho, eso no es posible, la divulgación del lunes muestra que ha recibido al menos algunos activos digitales de DarkSide.

Durante la conferencia del lunes, los funcionarios del Departamento de Justicia dijeron que habían rastreado a 90 víctimas que fueron golpeadas por DarkSide.

Paga con Bitcoin en lugar de Monero

Durante el año pasado, el ransomware pasó de ser un riesgo financiero a uno que tiene el potencial de interrumpir servicios críticos y perder vidas. En varias ocasiones, las infecciones que afectaron a los hospitales provocaron interrupciones que obligaron a los hospitales a cancelar cirugías electivas o redirigir a los pacientes de emergencia a instalaciones cercanas. La semana pasada, JBS, el mayor productor de carne del mundo, cerró temporalmente instalaciones en los EE. UU. Y en otros lugares después de perder el control de su red ante un grupo de ransomware llamado REvil.

El éxito de la aplicación de la ley alimentó la especulación de que Colonial Pipeline pagó el rescate no para obtener acceso a un descifrador que sabía que tenía errores, sino para ayudar al FBI a encontrar DarkSide y su mecanismo para obtener y lavar el rescate de Track.

La especulación se ve agravada por el hecho de que Colonial Pipeline pagó en Bitcoin, aunque esa opción requiere un 10 por ciento adicional del rescate. Bitcoin es pseudoanónimo, lo que significa que las carteras y las monedas almacenadas en ellas se pueden rastrear aunque no haya nombres adjuntos a las carteras digitales.

Es posible que Colonial Pipeline eligiera pagar el rescate más alto a instancias de las agencias de aplicación de la ley porque Bitcoin podría rastrearse y Monero, la otra moneda aceptada por DarkSide, es completamente indetectable. Incluso si lo hace, no está claro cómo las agencias de aplicación de la ley obtuvieron la clave criptográfica necesaria para vaciar la billetera.

«Como se afirma en la declaración jurada de respaldo, al revisar el libro mayor público de Bitcoin, los agentes del orden pudieron rastrear múltiples transferencias de Bitcoin y determinar que aproximadamente 63.7 bitcoins, que representan los ingresos del pago del rescate de la víctima, se habían transferido a una dirección específica que el El FBI tiene la «clave privada» o el equivalente aproximado de una contraseña requerida para acceder a los activos a los que se puede acceder desde la dirección particular de Bitcoin «, dijo el comunicado de prensa del lunes. «Este bitcoin representa ingresos por robo de computadoras y propiedad relacionada con lavado de dinero y puede ser confiscado bajo las leyes de recuperación penal y civil».

Con la mayoría de los grupos de ransomware con sede en Rusia u otros países de Europa del Este sin acuerdos de extradición con naciones occidentales, los funcionarios estadounidenses se han visto paralizados en gran medida en sus esfuerzos por llevar a los atacantes ante la justicia. Es demasiado pronto para saber si las técnicas que permitieron a los funcionarios rastrear los fondos pagados a DarkSide por Colonial Pipeline pueden usarse en la investigación de otros ataques de ransomware. Si es así, es posible que se les haya proporcionado a las fuerzas del orden público una herramienta poderosa cuando más se necesitaba.

Más populares

To Top