El pasado lunes en la noche, el U.S. Department of Justice (DOJ), «Departamento de Justicia de Estados Unidos«, informó que mediante la acción del Federal Bureau of Investigation (FBI), «Buró Federal de Investigaciones«, se recuperó 63,7 bitcoins (valorados actualmente en $2,3 millones de dólares) que fueron pagados por la empresa Colonial Pipeline Company con sede en Alpharetta, Georgia, a los extorsionadores del ransomware DarkSide, de conformidad con una orden de incautación autorizada por el Distrito Norte de California.
Colonial Pipeline, realizó este pago, el pasado 8 de mayo, en una decisión bastante controversial que generó críticas, pero que de acuerdo a la versión de los voceros de la empresa, era “necesaria para el país”. Este pago permitiría recuperar el control de los sistemas de distribución de combustible, que surte a todos los estados en la zona este de Estados Unidos.
Este pago tuvo a lugar, luego que el grupo cibercriminal infectó las computadoras de la empresa Colonial Pipeline afectadas con un ransomware, por lo que se vio obligada a detener el suministro de combustible de la compañía a través del gasoducto, lo que llevó al gobierno a emitir una declaración de emergencia para paliar los efectos de desabastecimiento que pudiera generar el corte de combustible por esta importante tubería.
Producto de esta situación que ocasionó desabastecimiento de combustible en algunas estaciones, la empresa Colonial Pipeline, tuvo que desembolsar una cantidad que estaba pidiendo el grupo de ciberdelincuentes DarkSide para pagar el rescate de la información de sus equipos. Un monto de aproximadamente 75 bitcoins (unos $4,4 millones a partir del 8 de mayo) fue pagado para recuperar el acceso a sus sistemas.
Apenas una semana después de que este incidente se hizo público por la que recibió mucha atención mediática a nivel nacional así como internacional, el sindicato de ransomware como servicio se disolvió con un mensaje de despedida el 14 de mayo a los afiliados, indicando que sus servidores de Internet y el alijo de criptomonedas fueron confiscados por entidades policiales desconocidas.
Esta organización de ciberdelincuentes, DarkSide, opera como una empresa que ofrece Ransomware-as-a-Service (RaaS), «Ransomware como Servicio«, en el cual, DarkSide, el desarrollador del ransomware crea el malware, mientras que el afiliado lo alquila y utiliza el ransomware para dar golpes a terceros en Internet.
Básicamente, este afiliado es el verdadero responsable de infectar los sistemas informáticos objetivo y negociar el pago del rescate con la organización víctima. Este nuevo modelo de negocio ha revolucionado el ransomware, abriéndolo a aquellos que no tienen la capacidad técnica para crear malware, pero están dispuestos y son capaces de infiltrarse en una organización objetivo para sacar un beneficio económico.
Si bien el anuncio de DarkSide se percibió como una salida al secuestro y pago de rescate, el último movimiento del DOJ confirmó especulaciones anteriores sobre la participación de las fuerzas del orden, en el rastreo de las cadenas de bloques y billeteras de las personas.
Al afirmar que «los pagos de rescate son el combustible que impulsa el motor de extorsión digital«, el DOJ dijo que siguió los rastros de dinero dejados por la pandilla DarkSide hasta una dirección específica de bitcoin al revisar el libro de contabilidad público de Bitcoin, al que se destinaron las ganancias del pago del rescate. transferidos, en última instancia utilizando la «clave privada» que el FBI tenía en su poder para acceder a los activos criptográficos almacenados en la billetera en cuestión.
«No hay lugar más allá del alcance del FBI para ocultar fondos ilícitos que nos impedirán imponer riesgos y consecuencias a los ciber actores maliciosos«, dijo el subdirector del FBI, Paul Abbate. Además, añadió que han estado investigando al grupo cibercriminal DarkSide desde el año pasado.
«Continuaremos utilizando todos nuestros recursos disponibles y aprovecharemos nuestras asociaciones nacionales e internacionales para interrumpir los ataques de ransomware y proteger a nuestros socios del sector privado y al público estadounidense«. Sin embargo, no indicaron cómo la agencia de inteligencia llegó a tener la clave privada, pero DarkSide había afirmado anteriormente haber perdido el acceso a uno de sus servidores de pago.
Desde Elliptic, una firma de análisis de Blockchain que había identificado la transacción de bitcoin que representa el pago de rescate de Colonial Pipeline, se señaló que los bitcoins incautados representan el 85% del monto total del rescate, que generalmente se reserva para los afiliados, y el resto se destina a los desarrolladores de DarkSide.
La dirección de Bitcoin ( bc1qq2euq8pw950klpjcawuy4uj39ym43hs6cfsegq ) se vació alrededor de la 1:40 pm ET del lunes, dijo el Dr. Tom Robinson, cofundador y científico jefe de Elliptic, quien explicó que «cualquier pago de rescate realizado por una víctima se divide entre el afiliado y el desarrollador«, por lo que en el «caso del pago de rescate de Colonial Pipeline, el 85% (63,75 BTC) fue para el afiliado y el 15% para el desarrollador de DarkSide«.
En todo caso, la incautación marca un esfuerzo orquestado único en su tipo liderado por el recientemente formado Ransomware and Digital Extortion Task Force (RDETF), «Grupo de Trabajo de Extorsión Digital y Ransomware» del DOJ para confiscar las ganancias ilícitas de un cartel ciberdelincuente al irrumpir en su billetera de Bitcoin utilizando su clave privada probablemente almacenada en el incautado servidores, como está implícito en la garantía.
«Hacer responsables a los ciberdelincuentes y alterar el ecosistema que les permite operar es la mejor manera de disuadir y defenderse de futuros ataques de esta naturaleza«, dijo el CEO de Colonial Pipeline, Joseph Blount, en el comunicado, quien también se mostró agradecido con el trabajo realizado por el DOJ y el FBI. «El sector privado también tiene un papel igualmente importante que desempeñar y debemos continuar tomando en serio las amenazas cibernéticas e invertir en consecuencia para fortalecer nuestras defensas«.
Blount, también explicó que su empresa fue víctima “de fuerzas que se escapan de su control” e hizo «un jocoso e irónico comentario«, señalando que si alguien tenía dudas, la contraseña de sus sistemas no era «123» (a modo irónico), por lo que sabe que se trataba de profesionales de la ciberdelincuencia.
Igualmente, Blount conversó sobre la decisión de cerrar el oleoducto, que fue calificada de extrema por algunos. Blount la justificó diciendo que fue la mejor decisión que tomaron como compañía en el momento: “ser extorsionado es un lugar que no le deseo a nadie”, dijo el CEO de Colonial.
«Hoy le dimos la vuelta a DarkSide«, dijo la subsecretaria de Justicia, Lisa Monaco, al solicitar a todas las empresas en Estados Unidos, que comiencen a invertir más para proteger su infraestructura crítica, pero también su propiedad intelectual. «DarkSide y sus afiliados han estado acechando digitalmente a empresas estadounidenses durante la mayor parte del año pasado«.
En todo caso, esta acción es una clara muestra de la capacidad del Gobierno de Estados Unidos y sus agencias de ciberseguridad para rastrear criptomonedas, identificar monederos digitales y confiscar fondos, una herramienta potencialmente poderosa para combatir los ataques de ransomware en particular.
© 2020-2021 BlockTrendy.com | Breaking News & Top Stories, Latest World News, Viral stories, Technology, Blockchain and more! – Para leer más sobre nuestros principios y prácticas periodísticas ingrese aquí.
0 Comments