Unidad federal recién formada recupera parte del rescate del oleoducto colonial

En un sorprendente giro de los acontecimientos, el Departamento de Justicia de EE. UU. Anunció que pudo recuperar la mayor parte del pago del rescate que Colonial Pipeline se vio obligado a realizar a raíz del ataque de ransomware en su infraestructura. El anuncio fue hecho por Lisa Monaco, en su calidad de Fiscal General Adjunta de los Estados Unidos.

El dinero se recuperó gracias al trabajo y los esfuerzos de un equipo federal de expertos cibernéticos recién formado. La unidad se llama Grupo de trabajo de ransomware y extorsión digital. La razón por la que se formó el nuevo equipo en primer lugar fue lo que el Departamento de Justicia llama una "epidemia" de ataques de ransomware que tuvo lugar durante el año pasado, citando a los malos actores, ataques cada vez más avanzados y su frecuencia creciente.

Colonial Pipeline fue atacado por ransomware lanzado por Darkside y los malos actores asociados en mayo. Dado que Colonial es uno de los mayores proveedores de combustibles líquidos en todo Estados Unidos, con operaciones críticas para grandes porciones de infraestructura ubicadas en la costa este y regiones adyacentes, la compañía se vio obligada a pagar el rescate de alrededor de $ 4.5 millones.

La gran pregunta es, ¿cómo pudieron las autoridades federales ingresar a la cuenta que recibió el pago del rescate y recuperar los fondos? La documentación publicada públicamente y relacionada con el caso Colonial establece que las autoridades realmente utilizaron la clave de cifrado adecuada que estaba asociada con la cuenta que recibió el pago del rescate. Sin embargo, los documentos no mencionan específicamente cómo se obtuvo esa clave.

Actualmente existen tres teorías sobre cómo el nuevo equipo de seguridad cibernética se hizo con la clave, ofrecidas por April Doss, directora ejecutiva del Instituto de Derecho y Política Tecnológica, una parte de Georgetown Law, la escuela de derecho más grande del país.

La primera teoría es que recibieron una pista de una entidad asociada con el ataque o con DarkSide de alguna manera. Otra teoría estipula que los federales pueden haber podido obtener la clave como resultado de una investigación en curso sobre DarkSide que se inició incluso antes de que tuviera lugar el ataque colonial.

La tercera teoría es que el FBI logró obtener información de Bitcoin o del intercambio de cifrado específico que funcionaba con las cuentas que se usaron para rebotar el pago del rescate y hacer que sea aún más difícil de rastrear. Aunque no hay información sólida de que el intercambio estaba dispuesto a ayudar al FBI y cooperó en este caso, si ese fuera el caso, este sería un evento muy importante con implicaciones para la futura batalla contra el ransomware.

Doss finalmente agrega que el escenario menos probable, por muy romántico que parezca, es que el FBI se las arregló para forzar la clave por sí solo.

Sorprendentemente, la gran parte de 2,3 millones de dólares que se recuperó con éxito todavía estaba en la primera cuenta a la que se pagó el rescate. Este es un descuido bastante grande por parte de los malos actores a cargo de esas cuentas.

En cualquier caso, el hecho de que un pago de rescate de alto perfil se haya recuperado de esta manera es un evento muy significativo para la seguridad cibernética y para la batalla global y continua contra el ransomware en general. Si bien los ataques de ransomware sin duda continuarán en el año en curso y más allá, este caso inusual de dinero recuperado es un punto de luz en un panorama que de otro modo sería sombrío.