L'unità federale di nuova formazione recupera parte del riscatto dell'oleodotto coloniale
In una sorprendente svolta degli eventi, il Dipartimento di Giustizia degli Stati Uniti ha annunciato di essere stato in grado di recuperare la parte migliore del pagamento del riscatto che Colonial Pipeline è stata costretta a effettuare a seguito dell'attacco ransomware alla sua infrastruttura. L'annuncio è stato dato da Lisa Monaco, nella sua qualità di vice procuratore generale degli Stati Uniti.
Il denaro è stato recuperato grazie al lavoro e agli sforzi di un nuovo team federale di esperti informatici. L'unità si chiama Ransomware and Digital Extortion Task Force. Il motivo per cui la nuova squadra è stata costituita in primo luogo è stata quella che il DoJ chiama un'"epidemia" di attacchi ransomware che si sono verificati nell'ultimo anno, citando gli attacchi sempre più avanzati e la loro frequenza crescente.
Colonial Pipeline è stata colpita dal ransomware lanciato da Darkside e dai cattivi attori associati a maggio. Essendo Colonial uno dei maggiori fornitori di combustibili liquidi in tutti gli Stati Uniti, con operazioni critiche per enormi blocchi di infrastrutture situate sulla costa orientale e nelle regioni adiacenti, la società è stata costretta a pagare il riscatto di circa $ 4,5 milioni.
La grande domanda è: come sono state in grado le autorità federali di entrare nel conto che ha ricevuto il pagamento del riscatto e recuperare i fondi? La documentazione rilasciata pubblicamente e relativa al caso coloniale afferma che le autorità hanno effettivamente utilizzato la chiave di crittografia corretta associata all'account che riceveva il pagamento del riscatto. Tuttavia, i documenti non fanno menzione specifica di come sia stata ottenuta tale chiave.
Attualmente ci sono tre teorie su come il nuovo team di sicurezza informatica sia entrato in possesso della chiave, offerta da April Doss, direttore esecutivo dell'Institute for Technology Law and Policy, una parte della Georgetown Law, la più grande scuola di legge del paese.
La prima teoria è che abbiano ricevuto una soffiata da un'entità associata all'attacco o in qualche modo a DarkSide. Un'altra teoria afferma che i federali potrebbero essere stati in grado di ottenere la chiave a seguito di un'indagine in corso su DarkSide che è stata avviata anche prima dell'attacco coloniale.
La terza teoria è che l'FBI sia riuscita a ottenere informazioni da Bitcoin o dallo specifico exchange di criptovalute che funzionava con gli account utilizzati per far rimbalzare il pagamento del riscatto e per renderlo ancora più difficile da rintracciare. Anche se non ci sono informazioni concrete sul fatto che lo scambio fosse disposto ad aiutare l'FBI e abbia collaborato in questo caso, se così fosse, questo sarebbe un evento molto significativo con implicazioni per la futura battaglia con il ransomware.
Doss aggiunge infine che lo scenario meno probabile, per quanto romantico possa sembrare, è che l'FBI sia riuscita a forzare la chiave da sola.
La grossa fetta di 2,3 milioni di dollari che è stata recuperata con successo era sorprendentemente ancora nel primo conto a cui è stato pagato il riscatto. Questa è una svista piuttosto grande da parte dei cattivi attori responsabili di quei conti.
Ad ogni modo, il fatto che un pagamento di riscatto di alto profilo sia stato recuperato in questo modo è un evento molto significativo per la sicurezza informatica e per la battaglia globale e in corso contro il ransomware in generale. Sebbene gli attacchi ransomware continueranno senza dubbio nell'anno in corso e oltre, questo caso insolito di denaro recuperato è un punto di luce su un panorama altrimenti desolante.
