Departament Sprawiedliwości Stanów Zjednoczonych w poniedziałek 7 czerwca 2021 ogłosił, że śledczy z Waszyngtonu odzyskali 2.3 miliony dolarów w Bitcoinie (BTC), które miały zostać przekazane hakerom z grupy przestępczej DarkSide w zamian za atak na rurociąg firmy Colonial Pipeline. Atak ten spowodował zamknięcie kluczowego rurociągu na Wschodnim Wybrzeżu Ameryki Północnej, ciągnącego się od Houston w Teksasie aż do Linden w New Jersey.
Colonial Pipeline płaci okup
CEO Colonial Pipeline Co., Joseph Blount, przyznał dziennikowi The Wall Street Journal w wywiadzie opublikowanym w zeszłym miesiącu (Maj 2021), że spełnił on żądanie grupy DarkSide, płacąc przestępcom okup w wysokości 4,4 miliona dolarów. W tym czasie urzędnicy nie znali jeszcze zakresu włamania ze strony hakerów i czasu, jaki zajmie przywrócenie rurociągu do działania.
Operacja odzyskania Bitcoinów
Operacja odzyskania okupu zapłaconego grupie DarkSide była pierwszą operacją podjętą przez niedawno utworzoną grupę zadaniową Departamentu Sprawiedliwości ds. Ransomware i Digital Extortion. Była ona przeprowadzana również przy współpracy oddziału FBI w San Francisco. Pracownicy Departamentu Sprawiedliwości byli w stanie zidentyfikować około 63,7 Bitcoinów (BTC) jako wpływy z płatności okupu ofiary i prześledzić ich transfer na konkretny adres do którego FBI posiadało „klucz prywatny”, czyli przybliżony odpowiednik długiego hasła potrzebnego do uzyskania dostępu do cyfrowego portfela Bitcoin.
„Śledzenie przepływu pieniędzy pozostaje jednym z najbardziej podstawowych, ale też potężnych narzędzi, jakie mamy do dyspozycji”, powiedziała w poniedziałek (7 Czerwca, 2021) zastępca prokuratora generalnego Lisa Monaco podczas ogłoszenia przez Departament Sprawiedliwości. „Płacenie okupu jest paliwem, który napędza silnik cyfrowych wymuszeń, a dzisiejszy sukces pokazuje, że Stany Zjednoczone wykorzystają wszystkie dostępne narzędzia, aby ataki te były bardziej kosztowne i mniej opłacalne dla grup przestępczych”.
„Wyłudzacze nigdy nie zobaczą tych pieniędzy”, powiedziała pełniąca obowiązki prokuratora dla Północnego Dystryktu Kalifornii Stephanie Hinds na konferencji prasowej w poniedziałek w Departamencie Sprawiedliwości. „Nowe technologie finansowe, które próbują anonimizować płatności, nie stworzą zasłony, zza której przestępcy będą mogli oszukiwać kieszenie ciężko pracujących Amerykanów”.
DarkSide – grupa przestępcza z Europy Wschodniej
Nakaz zajęcia pieniędzy w postaci Bitcoinów został zatwierdzony przez Biuro Prokuratora Stanów Zjednoczonych dla Północnego Dystryktu Kalifornii. Grupa przestępcza DarkSide jest jedną z największych grup hackerów działających na zasadzie Ransomware-as-a-Corporation (RaaC). Grupa ta pochodzi z Europy Wschodniej, a jej ofiarami stają się przeważnie duże korporacje, takie jak właśnie Colonial Pipeline czy też Toshiba. Grupa ta określa sama siebie jako „apolityczną” oraz nie uczestniczącą w geopolityce.
Dzięki sprawnym działaniom Departamentu Sprawiedliwości, a także FBI, które zajęły się całym ekosystemem, za pomocą którego atak ransomware na Colonial Pipeline został przeprowadzony, istnieje nadzieja, że w przyszłości ataków takich da się uniknąć. Lisa Monaco zapewniła, że Stany Zjednoczone będą nadal korzystać ze wszystkich swoich zasobów oraz narzędzi, aby zwiększać koszty oraz konsekwencje ataków ransomware. Departament Sprawiedliwości wydał również specjalną dyrektywę, na mocy której wszystkie biura prawnicze w Stanach Zjednoczonych muszą składać wewnętrzne raporty dotyczące każdego nowego incydentu związanego z oprogramowaniem ransomware, o którym słyszą.
