En un gran golpe, el Departamento de Justicia de EE. UU. dijo el lunes que recuperó 63,7 bitcoins (actualmente valorados en $ 2,3 millones) pagados por Colonial Pipeline a los extorsionadores de ransomware DarkSide el 8 de mayo, de conformidad con una orden de incautación que fue autorizada por Northern Distrito de California.
El ataque de ransomware también obstaculizó el suministro de combustible de la empresa de oleoductos, lo que llevó al gobierno a emitir una declaración de emergencia, incluso cuando la empresa pagó un rescate de aproximadamente 75 bitcoins (4,4 millones de dólares al 8 de mayo) para recuperar el acceso a sus sistemas.
Una semana después del incidente altamente publicitado, el sindicato de ransomware como servicio se disolvió con un mensaje de despedida el 14 de mayo para los afiliados, afirmando que sus servidores de Internet y su reserva de criptomonedas fueron incautados por entidades policiales desconocidas. Si bien el anuncio de DarkSide se percibió como una estafa de salida, el último movimiento del Departamento de Justicia confirma las especulaciones anteriores sobre la participación de las fuerzas del orden.
Al afirmar que «los pagos de rescate son el combustible que impulsa el motor de extorsión digital», el Departamento de Justicia dijo que siguió los rastros de dinero dejados por la banda DarkSide hasta una dirección de bitcoin específica mediante la revisión del libro público de Bitcoin, al que se destinaron las ganancias del pago del rescate. transferido, en última instancia, utilizando la «clave privada» que el FBI tenía en su poder para acceder a los activos criptográficos almacenados en la billetera en cuestión.
«No hay lugar fuera del alcance del FBI para ocultar fondos ilícitos que nos impidan imponer riesgos y consecuencias tras los ciberataques maliciosos», dijo el subdirector del FBI, Paul Abbate. «Seguiremos utilizando todos nuestros recursos disponibles y aprovechando nuestras asociaciones nacionales e internacionales para interrumpir los ataques de ransomware y proteger a nuestros socios del sector privado y al público estadounidense».
No está claro de inmediato cómo la agencia de inteligencia llegó a tener la clave privada, pero DarkSide había afirmado previamente que había perdido el acceso a uno de sus servidores de pago.
La firma de análisis de blockchain Elliptic, que identificó la transacción de bitcoin que representa el pago del rescate de Colonial Pipeline, dijo que los bitcoins incautados representan el 85% del monto total del rescate que generalmente se reserva para los afiliados, y el resto va a los desarrolladores de DarkSide. La dirección de Bitcoin se vació alrededor de la 1:40 p. m. ET del lunes, dijo el Dr. dijo Tom Robinson, cofundador y científico jefe de Elliptic.
En todo caso, la incautación marca el primer esfuerzo orquestado de su tipo liderado por el recién formado Grupo de Trabajo de Extorsión Digital y Ransomware del Departamento de Justicia para confiscar las ganancias ilícitas de un cartel ciberdelincuente irrumpiendo en su billetera bitcoin utilizando su clave privada probablemente almacenada en el incautado servidores, como se implica en la orden.
«Hacer que los ciberdelincuentes rindan cuentas y alterar el ecosistema que les permite operar es la mejor manera de disuadir y defenderse de futuros ataques de esta naturaleza», dijo el director general de Colonial Pipeline, Joseph Blount, en el comunicado. «El sector privado también tiene un papel igualmente importante que desempeñar y debemos continuar tomando en serio las amenazas cibernéticas e invertir en consecuencia para fortalecer nuestras defensas».
