Une unité fédérale nouvellement formée récupère une partie de la rançon du pipeline colonial

Dans une tournure surprenante des événements, le ministère américain de la Justice a annoncé qu'il était en mesure de récupérer la majeure partie du paiement de la rançon que Colonial Pipeline a été contraint de faire à la suite de l'attaque du ransomware sur son infrastructure. L'annonce a été faite par Lisa Monaco, en sa qualité de procureur général adjoint des États-Unis.

L'argent a été récupéré grâce au travail et aux efforts d'une nouvelle équipe fédérale de cyber-experts. L'unité s'appelle Ransomware and Digital Extorsion Task Force. La raison pour laquelle la nouvelle équipe a été formée en premier lieu était ce que le DoJ appelle une "épidémie" d'attaques de ransomware qui a eu lieu au cours de l'année écoulée, citant les attaques de plus en plus avancées et leur fréquence croissante.

Colonial Pipeline a été touché par un ransomware lancé par Darkside et des acteurs malveillants associés en mai. Colonial étant l'un des plus grands fournisseurs de carburant liquide de tous les États-Unis, avec des opérations critiques pour d'énormes pans d'infrastructure situés sur la côte est et les régions adjacentes, la société a été forcée de payer une rançon d'environ 4,5 millions de dollars.

La grande question est de savoir comment les autorités fédérales ont pu accéder au compte qui a reçu le paiement de la rançon et récupérer les fonds ? La documentation publiée publiquement et liée à l'affaire Colonial indique que les autorités ont en fait utilisé la clé de cryptage appropriée associée au compte recevant le paiement de la rançon. Cependant, les documents ne font aucune mention spécifique de la façon dont cette clé a été obtenue.

Il existe actuellement trois théories sur la façon dont la nouvelle équipe de cybersécurité a mis la main sur la clé, proposée par April Doss, directrice exécutive de l'Institute for Technology Law and Policy, qui fait partie de Georgetown Law – la plus grande faculté de droit du pays.

La première théorie est qu'ils ont reçu un conseil d'une entité associée à l'attaque ou à DarkSide d'une manière ou d'une autre. Une autre théorie stipule que les fédéraux pourraient avoir pu obtenir la clé à la suite d'une enquête en cours sur DarkSide qui a été lancée avant même l'attaque coloniale.

La troisième théorie est que le FBI a réussi à obtenir des informations de Bitcoin ou de l'échange cryptographique spécifique qui fonctionnait avec les comptes qui ont été utilisés pour rebondir le paiement de la rançon et pour le rendre encore plus difficile à retracer. Même s'il n'y a aucune information concrète selon laquelle l'échange était disposé à aider le FBI et a coopéré dans ce cas, si tel était effectivement le cas, ce serait un événement très important avec des implications pour la future bataille contre les ransomwares.

Doss ajoute enfin que le scénario le moins probable, aussi romantique que cela puisse paraître, est que le FBI ait réussi à forcer la clé par lui-même.

Le gros morceau de 2,3 millions de dollars qui a été récupéré avec succès était encore choquant dans le tout premier compte sur lequel la rançon a été payée. Il s'agit d'un oubli assez important de la part des mauvais acteurs en charge de ces comptes.

Quoi qu'il en soit, le fait qu'un paiement de rançon très médiatisé ait été récupéré de cette manière est un événement très important pour la cybersécurité et pour la bataille mondiale et continue contre les ransomwares en général. Alors que les attaques de ransomwares se poursuivront sans aucun doute au cours de l'année en cours et au-delà, ce cas inhabituel d'argent récupéré est un point de lumière sur un paysage autrement sombre.