Nydannet føderal enhet gjenoppretter en del av løsepenger for kolonialrørledning

I en overraskende begivenhet kunngjorde det amerikanske justisdepartementet at de var i stand til å gjenopprette den bedre delen av løsepengebetalingen som Colonial Pipeline ble tvunget til å utføre i kjølvannet av ransomware-angrepet på infrastrukturen. Kunngjøringen ble gjort av Lisa Monaco, i hennes egenskap av amerikansk viseadvokat.

Pengene ble gjenopprettet takket være arbeidet og innsatsen til et nydannet føderalt team av cybereksperter. Enheten heter Ransomware and Digital Extortion Task Force. Årsaken til at det nye teamet ble dannet i utgangspunktet, var det DoJ kaller en "epidemi" i ransomware-angrep som fant sted det siste året, og siterte de dårlige skuespillerne stadig mer avanserte angrep og deres økende frekvens.

Colonial Pipeline ble rammet av ransomware lansert av Darkside og tilknyttede dårlige skuespillere i mai. Med Colonial som en av de største leverandørene av flytende drivstoff i hele USA, med operasjoner som er kritiske for store deler av infrastrukturen på østkysten og tilstøtende regioner, ble selskapet tvunget til å betale løsepenger på rundt 4,5 millioner dollar.

Det store spørsmålet er hvordan var de føderale myndighetene i stand til å komme inn på kontoen som mottok løsepenger og få tilbake pengene? Dokumentasjonen som ble offentliggjort og knyttet til kolonisaken, sier at myndighetene faktisk brukte den riktige krypteringsnøkkelen som var knyttet til kontoen som mottok løsepenger. Dokumentene nevner imidlertid ingen spesifikk om hvordan nøkkelen ble oppnådd.

Det er for tiden tre teorier om hvordan det nye cybersikkerhetsteamet fikk tak i nøkkelen, tilbudt av April Doss, administrerende direktør for Institute for Technology Law and Policy, en del av Georgetown Law - landets største lovskole.

Den første teorien er at de mottok et tips fra en enhet tilknyttet angrepet eller med DarkSide på en eller annen måte. En annen teori fastslår at føderalene kan ha klart å få tak i nøkkelen som et resultat av en pågående etterforskning av DarkSide som ble lansert allerede før kolonialangrepet fant sted.

Den tredje teorien er at FBI klarte å skaffe informasjon fra Bitcoin eller den spesifikke kryptobørs som jobbet med kontoene som ble brukt til å sprette løsepenger og gjøre det enda vanskeligere å spore. Selv om det ikke er hard informasjon om at børsen var villig til å hjelpe FBI og samarbeidet i dette tilfellet, ville dette være en veldig viktig begivenhet med implikasjoner for den fremtidige kampen med ransomware, hvis det virkelig var tilfelle.

Doss legger til slutt til at det minst sannsynlige scenariet, uansett hvor romantisk det enn høres ut, er at FBI klarte å tøffe nøkkelen på egenhånd.

Den store delen av $ 2,3 millioner som har blitt gjenopprettet, satt sjokkerende fremdeles på den aller første kontoen som løsepenger ble betalt til. Dette er et ganske stort tilsyn med en del av de dårlige skuespillerne som har ansvaret for disse kontoene.

I alle fall er det faktum at en høyprofilert løsepengerbetaling ble gjenopprettet på denne måten en veldig viktig begivenhet for cybersikkerhet og for den globale, pågående kampen mot ransomware generelt. Mens ransomware-angrep uten tvil vil fortsette i inneværende år og utover, er dette uvanlige tilfellet med gjenvunne penger et lysflekk i et ellers dystert landskap.