Nyligt dannet føderal enhed genvinder en del af løsepenge for kolonial pipeline

I en overraskende begivenhed meddelte det amerikanske justitsministerium, at det var i stand til at inddrive den bedre del af løsepengeudbetalingen, som Colonial Pipeline blev tvunget til at foretage i kølvandet på ransomware-angrebet på dens infrastruktur. Meddelelsen blev fremsendt af Lisa Monaco i hendes egenskab af amerikansk viceadvokat.

Pengene blev inddrevet takket være arbejdet og indsatsen fra et nydannet føderalt team af cybereksperter. Enheden kaldes taskforce for ransomware og digital afpresning. Årsagen til, at det nye hold blev oprettet i første omgang, var, hvad DoJ kalder en "epidemi" i ransomware-angreb, der fandt sted i løbet af det sidste år, idet de citerede de dårlige skuespillere i stigende grad mere avancerede angreb og deres voksende hyppighed.

Colonial Pipeline blev ramt af ransomware, der blev lanceret af Darkside og tilknyttede dårlige skuespillere i maj. Da Colonial var en af de største leverandører af flydende brændstof i hele USA med operationer, der var kritiske for enorme klumper af infrastruktur på østkysten og tilstødende regioner, blev virksomheden tvunget til at betale løsepenge på ca. $ 4,5 millioner.

Det store spørgsmål er, hvordan var de føderale myndigheder i stand til at komme ind på den konto, der modtog løsesummen og inddrive pengene? Dokumentationen offentliggjort og relateret til kolonisagen siger, at myndighederne faktisk brugte den korrekte krypteringsnøgle, der var knyttet til den konto, der modtog løsepengeudbetalingen. Dokumenterne nævner imidlertid ikke specifikt, hvordan denne nøgle blev opnået.

Der er i øjeblikket tre teorier om, hvordan det nye cybersikkerhedsteam fik fat i nøglen, der blev tilbudt af April Doss, administrerende direktør for Institute for Technology Law and Policy, en del af Georgetown Law - landets største lovskole.

Den første teori er, at de modtog et tip fra en enhed, der er forbundet med angrebet eller på en eller anden måde med DarkSide. En anden teori fastslår, at føderalerne muligvis har været i stand til at få nøglen som et resultat af en igangværende undersøgelse af DarkSide, der blev lanceret, selv før det koloniale angreb fandt sted.

Den tredje teori er, at FBI formåede at få oplysninger fra Bitcoin eller den specifikke kryptobørs, der arbejdede med de konti, der blev brugt til at afvise løsesummen og gøre det endnu sværere at spore. Selvom der ikke er nogen hårde oplysninger om, at børsen var villig til at hjælpe FBI og samarbejdede i dette tilfælde, hvis dette virkelig var tilfældet, ville dette være en meget vigtig begivenhed med konsekvenser for den fremtidige kamp med ransomware.

Doss tilføjer endelig, at det mindst sandsynlige scenarie, hvor romantisk det end måtte lyde, er, at FBI formåede at ophæve nøglen alene.

Den store del af $ 2,3 millioner, der er blevet genoprettet, sad chokerende stadig på den allerførste konto, som løsepenge blev betalt til. Dette er et ret stort tilsyn med en del af de dårlige skuespillere, der har ansvaret for disse konti.

Under alle omstændigheder er det faktum, at en højtprofileret løsesumudbetaling blev inddrevet på denne måde, en meget vigtig begivenhed for cybersikkerhed og for den globale, løbende kamp mod ransomware generelt. Mens ransomware-angreb uden tvivl vil fortsætte i det indeværende år og derefter, er dette usædvanlige tilfælde af inddrevne penge et lyspunkt i et ellers dystert landskab.

June 8, 2021

Efterlad et Svar