El FBI incauta 2,3 millones de dólares en carteras de criptomonedas de los atacantes de ransomware Colonial Pipeline

Según los informes, el FBI se ha incautado de carteras de criptomonedas por valor de 2,3 millones de dólares utilizadas en el ataque de ransomware Colonial Pipeline. La incautación podría dificultar la operación de los atacantes de ransomware, al tiempo que alentaría a otras víctimas a trabajar mejor con las fuerzas del orden.
Ⓒ Banco de imágenes de Getty

El 7 de junio, el Departamento de Justicia de EE. UU. Anunció que Colonial Pipeline había confiscado 63,7 BTC por un valor aproximado de 2,3 millones de dólares, que se cree que forma parte de un pago del 8 de mayo a los atacantes del ransomware DarkSide. .

Colonial Pipeline admitió haber pagado a los ciberdelincuentes un total de $ 4.4 millones en rescate de Bitcoin para restaurar la inteligencia completa del sistema después del severo ataque de ransomware que la compañía anunció el 7 de mayo.

La Fiscalía Especial del Fiscal de Distrito del Norte de California y la Unidad de Confiscación de Activos confiscaron carteras de Bitcoin inmediatamente después de que un magistrado del Distrito Norte de California aprobara una orden de registro e incautación. Los atacantes de Darkside anunciaron a mediados de mayo que perderían el control de algunos servidores, como los servidores de pago, y los cerrarían debido a la “presión” estadounidense. Con eso en mente, la noticia de la confiscación de la billetera no es ninguna sorpresa. En ese momento, Darkseid declaró que parte de los fondos se habían retirado a una cuenta desconocida.


La máxima retórica de ‘seguir el flujo de dinero’ todavía funciona

“El viejo adagio ‘siga el flujo de dinero’ todavía se aplica”, dijo Lisa Monaco, fiscal general adjunta del Departamento de Justicia de Estados Unidos, en una rueda de prensa. Después de que Colonial Pipeline notificara de inmediato a los funcionarios encargados de hacer cumplir la ley, el Departamento de Justicia encontró la mayor parte del rescate en la madrugada del día 7, luego de una orden de registro e incautación emitida por el Tribunal de Distrito para el Distrito Norte de California. Colonial pagó a Darkside Network a raíz de un ataque de ransomware el mes pasado.

La incautación selectiva de carteras tiene como objetivo debilitar los ataques de ransomware cada vez más destructivos, especialmente dirigidos a infraestructuras críticas como oleoductos y gasoductos. “Dimos la vuelta al lado oscuro al rastrear todo el ecosistema que desencadena ataques de ransomware y de adquisición digital, incluidos los ingresos delictivos en forma de moneda digital”, dijo Monaco. Continuaremos utilizando todas las herramientas y recursos que necesitamos para hacer esto “.


Cómo el FBI identificó las billeteras de los atacantes como “ambiguas”

No está claro exactamente cómo la policía de EE. UU. Identificó la billetera del atacante. “El FBI ha estado investigando a Darkseid, una organización de ciberdelincuentes con sede en Rusia desde el año pasado”, dijo el subdirector del FBI, Paul Abate, durante una sesión informativa. Es solo una de las variantes de desgaste “.

“Hemos identificado carteras de monedas virtuales utilizadas por los actores del lado oscuro para hacerse pasar por las fuerzas del orden y cobrar los pagos de las víctimas”, dijo Abate. “Los fondos de la víctima fueron confiscados de sus billeteras y se les impidió que los usaran los actores del lado oscuro”. Sin embargo, no se dieron a conocer los detalles de cómo se llevó a cabo la operación.

Un agente de campo del FBI cuyo nombre ha sido cambiado en una declaración jurada que acompaña a la solicitud de incautación dijo que Colonial Pipeline había notificado al FBI la dirección de la criptomoneda que utilizó para pagar el rescate el 8 de mayo.

Esto permitió al FBI revisar el libro de contabilidad público de Bitcoin y rastrear la billetera que finalmente se apoderó de Bitcoin. “Las claves privadas de la billetera están en posesión del FBI en el norte de California”, dijo el agente en una declaración jurada. Una clave privada, una contraseña de 256 bits que puede desbloquear y transferir bitcoins, es un componente clave para mantener las criptomonedas en el anonimato y la seguridad.

La forma en que el FBI obtuvo la clave privada del atacante del lado oscuro es fundamental para determinar si las fuerzas del orden pueden rastrear el dinero y eliminar los intereses económicos de otros atacantes de ransomware en el futuro.

Según los informes de los medios de comunicación del FBI sobre la incautación de la billetera, el FBI ocultó deliberadamente cómo se obtuvo la clave privada para no dar información a los atacantes. Según un agente, el método utilizado por el FBI era “replicable”, lo que significa que las autoridades también podrían utilizarlo contra el próximo atacante de ransomware. El FBI también dijo que había recibido ayuda sustancial para confiscar la billetera del Centro de Inteligencia de Amenazas de Microsoft (MSTIC).


3 escenarios para asegurar una billetera de criptomonedas

Hay tres escenarios sobre cómo las fuerzas del orden de los EE. UU. Aseguraron la billetera:
“Los documentos del FBI dan lugar a mucha especulación, pero lo cierto es que poseían la clave privada del grupo de piratas informáticos y 63.7 bitcoins asociados”, dijo Adrian Bednarek, CISO de la firma de criptomonedas Overflow Labs. Bednarek especuló que uno de los tres escenarios sería cómo el FBI obtuvo la clave privada del hacker.

El primer escenario es que debido a la seguridad operativa equivocada del lado oscuro, el FBI descubrió la ubicación física de todos los dispositivos informáticos utilizados para cobrar los pagos de ransomware. El dispositivo fue confiscado y la clave privada de Darkseid se recuperó forense. Esta hipótesis se alinea con la declaración de mediados de mayo de Darkseid de que había perdido el control del servidor.

“Otro segundo escenario, menos probable, es cuando un infiltrado de darkseid trabaja con el FBI para firmar un contrato para entregar una clave privada”, dijo Bednarek.

El tercer escenario de Bednarek es que el FBI utiliza un exploit privado de día cero en el sistema operativo o software (o ambos) utilizado por el lado oscuro para revelar las direcciones de Protocolo de Internet (IP) reales de los dispositivos informáticos del lado oscuro y trabajar con los ISP para determinar su ubicación física. Se dice que la clave privada de Bitcoin se recuperó mediante análisis forense o mediante la ejecución de código malicioso.
“Basado en la experiencia previa, el FBI busca y contrata empresas especializadas para descubrir exploits en el software utilizado por los adversarios”, agregó Bednarek.

Mónaco dijo que la medida no es la primera vez que el gobierno de EE. UU. Incauta criptomonedas en relación con un ataque de ransomware. En enero, las autoridades policiales de EE. UU. Incautaron alrededor de $ 454,530 en rescate en criptomonedas en una fuerte ofensiva contra los atacantes de ransomware NetWalker.


Colaborando en Colonial Pipeline, animando a otras víctimas a trabajar con el FBI

Colonial Pipeline, en colaboración con el FBI, admitió que compartió conocimientos con fiscales e investigadores de campo cuando confiscaron carteras. “Cuando Colonial fue atacado el 7 de mayo, nos comunicamos silenciosa y rápidamente con las oficinas locales del FBI en Atlanta y San Francisco y los fiscales en el norte de California y Washington DC para compartir lo que sabíamos en ese momento”, dijo Colonial en un comunicado. hizo ”, dijo.

El FBI espera que la incautación exitosa permita a otras víctimas de ransomware trabajar con las fuerzas del orden para privar a los atacantes de ransomware de sus intereses financieros. “El mensaje que estamos enviando es que si las empresas afectadas trabajan con las autoridades policiales, pueden tomar medidas para quitar el dinero que los delincuentes persiguen en sus planes criminales”, dijo Monaco.

“El ataque al Colonial Pipeline fue un ataque a la infraestructura más crítica del país”, dijo Monaco. “La respuesta a este ataque representa la respuesta rápida del gobierno, representada por el Grupo de Trabajo de Ransomware del FBI, y nuestro compromiso de rastrear todo el ecosistema criminal de ransomware utilizado por este tipo de red criminal y sus afiliados”.


Los atacantes de ransomware necesitan más trabajo para permanecer en el anonimato

Ya sea que la aplicación de la ley haya debilitado con éxito el ecosistema de ransomware o no, la medida indica que la aplicación de la ley puede rastrear a los atacantes de ransomware, lo que inevitablemente obliga a los ciberdelincuentes a actuar.

Mantenerse en el anonimato en Internet es muy difícil y requiere una atención meticulosa a los detalles. “Es muy difícil permanecer en el anonimato en línea porque hay muchos métodos de rastreo”, dijo Bednarek. Esto es especialmente cierto cuando se realizan ataques de ransomware que exigen criptomonedas como rescate “.

La fiscal interina del distrito norte, Stephanie Hines, en una conferencia de prensa con el Departamento de Justicia de los Estados Unidos, dijo en una conferencia de prensa con el Departamento de Justicia de los Estados Unidos: “Las nuevas tecnologías financieras que buscan anonimizar los pagos no proporcionarán un medio para permitir que los delincuentes roben con fuerza -ciudadanos trabajadores. Demuestra nuestra determinación de evitar la conversión de los métodos de pago en herramientas de extorsión para obtener ganancias indebidas ”.


Source: ITWorld Korea by www.itworld.co.kr.

*The article has been translated based on the content of ITWorld Korea by www.itworld.co.kr. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!