La Departamento de EE. UU. Justicia Hoy dijo que ha recuperado $ 2.3 millones en Bitcoin que oleoducto colonial Pagué a los piratas informáticos ransomware el mes pasado. Dinero enviado a El lado oscuro, un sindicato de ransomware como servicio que se disolvió después de una carta de despedida el 14 de mayo a sus afiliados que indicaba que los servidores de Internet y el alijo de criptomonedas habían sido tomados por entidades policiales desconocidas.
El 7 de mayo, la banda de ransomware DarkSide lanzó su ataque a Colonial, que finalmente pagó 75 Bitcoin (~ $ 4,4 millones) a sus torturadores. La compañía dijo que los atacantes solo atacaron sus redes comerciales de TI, no sus sistemas de seguridad y protección de tuberías, pero cerraron la tubería de todos modos como medida de precaución. [several publications noted Colonial shut down its pipeline because its billing system was impacted, and it had no way to get paid].
El 14 de mayo o alrededor de esa fecha, DarkSide participó en varios foros de ciberdelincuencia en ruso Publicar un mensaje de que el grupo estaba pidiendo que abandonara.
«Los servidores se han apoderado, los anunciantes y los fondos de los fundadores se han transferido a una cuenta desconocida», se lee en el mensaje de despedida. El soporte de alojamiento, aparte de la información «a solicitud de las agencias de aplicación de la ley», no proporciona ninguna otra información.
Mensaje de DarkSide y REvil ransomware-as-a-service Affiliate Cybercrime.
Varios expertos en seguridad dijeron que sospechaban que DarkSide había ido cuesta abajo durante un tiempo gracias al calor de la ofensiva colonial, y que el grupo reaparecería bajo una nueva bandera en los próximos meses. Y si bien eso puede ser cierto, la toma de control anunciada hoy por el Departamento de Justicia ciertamente respalda las afirmaciones del funcionario de DarkSide de que su cierre fue involuntario.
Las empresas de seguridad han sospechado durante meses que la pandilla DarkSide comparte algo de liderazgo con una pandilla. REvil, también conocido como Sodinokibi, otra plataforma de ransomware como servicio que cerró su negocio en 2019 después de jactarse de haber extorsionado a más de $ 2 mil millones a las víctimas. Esta sospecha se reforzó aún más cuando el funcionario de REvil agregó sus comentarios al anuncio sobre el cierre de DarkSide (ver captura de pantalla arriba).
Apareciendo por primera vez en foros de piratería en ruso en agosto de 2020, DarkSide es una plataforma de ransomware como servicio que los ciberdelincuentes examinados pueden usar para infectar empresas con ransomware y realizar negociaciones y pagos con las víctimas. DarkSide dice que solo se dirige a grandes empresas y prohíbe a los afiliados lanzar ransomware en organizaciones en muchas industrias, incluida la atención médica, los servicios funerarios, la educación, el sector público y las organizaciones sin fines de lucro.
a mi analizando Publicado el 18 de mayo por la empresa de criptomonedas Aman Elíptico, 47 víctimas de delitos cibernéticos pagaron a DarkSide un total de $ 90 millones en Bitcoin, lo que hace que el pago promedio de rescate para las víctimas de DarkSide sea de al menos $ 2 millones.
¿Cómo hicieron eso?
Ministerio de Justicia Publicidad Dejé abierta la pregunta de cómo pude recuperar exactamente parte del pago que pagué a Colonial, que cerró el gasoducto de combustible de Houston a Nueva Inglaterra durante una semana y provocó largas colas, altos precios y escasez de gasolina en las estaciones de servicio de todo el país. .
El Departamento de Justicia dijo que las fuerzas del orden pudieron rastrear múltiples transferencias de bitcoins y determinar que aproximadamente 63.7 bitcoins (aproximadamente $ 3.77 millones el 8 de mayo), “que representan los ingresos del pago del rescate a la víctima, se habían transferido a una dirección específica, que la oficina del FBI tiene la «clave privada», o el equivalente aproximado de la contraseña, necesaria para obtener acceso a los activos accesibles desde esa dirección de Bitcoin en particular «.
Un clip del comunicado de prensa del Ministerio de Justicia de hoy.
La pregunta principal es cómo obtuvo esta clave privada. Nicholas WeaverProfesor del Departamento de Informática de Universidad de California, BerkeleyLa explicación más probable, dijo, es que un agente de la ley confiscó fondos de una subsidiaria específica de DarkSide responsable de brindar acceso inicial a la banda criminal a los sistemas de Colonial.
«La parte de ‘obtener la clave privada’ de su declaración hace mucho trabajo», dijo Weaver, y señaló que la cantidad que recuperó el FBI fue menor que la cantidad total que pagó el coronel.
«Es solo el rescate de Colonial Pipeline, y parece que solo está tomando afiliados».
Los expertos de Elliptic llegaron a la misma conclusión.
«Cualquier pago de rescate pagado por la víctima se divide entre el afiliado y el desarrollador», Escribe Co-fundador de Elliptic Tom Robinson. «Si se pagó el rescate de Colonial Pipeline, el 85% (63,75 BTC) se destinó al afiliado y el 15% al desarrollador de DarkSide».
La administración de Biden está bajo una presión cada vez mayor para hacer algo con respecto a la epidemia de ataques de ransomware. Junto con el trabajo de hoy, el Ministerio de Justicia Llame la atención sobre los avances logrados por el Grupo de trabajo sobre ransomware y extorsión digital, que incluyó enjuiciamientos exitosos de estafadores detrás de amenazas como las cepas Netwalker y el ransomware SamSam.
El Ministerio de Justicia también dio a conocer Nota del 3 de junio de Fiscal adjunta Lisa o Mónaco Indique a todos los fiscales federales que se adhieran a las nuevas pautas que buscan centralizar la denuncia de víctimas de ransomware.
Tener un lugar central para que las agencias policiales y de inteligencia recopilaran y actuaran frente a las amenazas de ransomware fue uno de los factores principales. Recomendaciones para un grupo de trabajo de ransomware dirigido por algunas de las empresas de tecnología más grandes del mundo. En un informe de 81 páginas, el grupo de trabajo liderado por la industria pidió una coalición internacional para combatir a los criminales de ransomware y la creación de una red global de centros de investigación. Sus recomendaciones se centran principalmente en acabar con las bandas de ciberdelincuentes limitando su capacidad para ganar dinero, apuntar a personas y financiar a los ladrones organizados detrás de estos delitos.
«Zombieaholic. Nerd general de Twitter. Analista. Gurú aficionado de la cultura pop. Fanático de la música».
/cdn.vox-cdn.com/uploads/chorus_asset/file/24016887/STK093_Google_02.jpg)
