Nieuw gevormde federale eenheid herstelt deel van losgeld voor koloniale pijpleiding

In een verrassende wending van de gebeurtenissen kondigde het Amerikaanse ministerie van Justitie aan dat het in staat was om het grootste deel van het losgeld terug te krijgen dat Colonial Pipeline moest doen na de ransomware-aanval op zijn infrastructuur. De aankondiging werd gedaan door Lisa Monaco, in haar hoedanigheid van plaatsvervangend procureur-generaal van de VS.

Het geld werd teruggevonden dankzij het werk en de inspanningen van een nieuw gevormd federaal team van cyberexperts. De eenheid wordt de Ransomware and Digital Extortion Task Force genoemd. De reden waarom het nieuwe team in de eerste plaats werd gevormd, was wat het DoJ een "epidemie" noemt in ransomware-aanvallen die het afgelopen jaar plaatsvonden, daarbij verwijzend naar de steeds geavanceerdere aanvallen en hun toenemende frequentie.

Colonial Pipeline werd in mei getroffen door ransomware gelanceerd door Darkside en geassocieerde slechteriken. Omdat Colonial een van de grootste leveranciers van vloeibare brandstof in de hele VS is, met operaties die cruciaal zijn voor enorme stukken infrastructuur aan de oostkust en aangrenzende regio's, moest het bedrijf het losgeld van ongeveer $ 4,5 miljoen betalen.

De grote vraag is, hoe konden de federale autoriteiten binnenkomen op de rekening die het losgeld ontving en het geld terugkrijgen? De documentatie die publiekelijk is vrijgegeven en gerelateerd is aan de koloniale zaak, stelt dat de autoriteiten de juiste coderingssleutel hebben gebruikt die was gekoppeld aan het account dat het losgeld ontving. In de documenten wordt echter niet specifiek vermeld hoe die sleutel is verkregen.

Er zijn momenteel drie theorieën over hoe het nieuwe cyberbeveiligingsteam de sleutel in handen kreeg, aangeboden door April Doss, de uitvoerend directeur van het Institute for Technology Law and Policy, een onderdeel van Georgetown Law - de grootste rechtenfaculteit van het land.

De eerste theorie is dat ze een tip hebben ontvangen van een entiteit die op de een of andere manier is geassocieerd met de aanval of met DarkSide. Een andere theorie stelt dat de federale autoriteiten de sleutel mogelijk hebben kunnen bemachtigen als gevolg van een lopend onderzoek naar DarkSide dat werd gelanceerd nog voordat de koloniale aanval plaatsvond.

De derde theorie is dat de FBI erin slaagde informatie te verkrijgen van Bitcoin of de specifieke crypto-uitwisseling die werkte met de accounts die werden gebruikt om het losgeld te stuiten en om het nog moeilijker te traceren te maken. Ook al is er geen harde informatie dat de uitwisseling bereid was om de FBI te helpen en in dit geval meewerkte, als dat inderdaad het geval was, zou dit een zeer belangrijke gebeurtenis zijn met implicaties voor de toekomstige strijd tegen ransomware.

Doss voegt er ten slotte aan toe dat het minst waarschijnlijke scenario, hoe romantisch het ook mag klinken, is dat de FBI de sleutel op eigen kracht heeft weten te forceren.

Het grote deel van $ 2,3 miljoen dat met succes is teruggevonden, stond schrikbarend nog steeds op de allereerste rekening waarop het losgeld werd betaald. Dit is een vrij groot overzicht van een deel van de slechte acteurs die de leiding hebben over die accounts.

Het feit dat op deze manier een spraakmakende losgeldbetaling is teruggevonden, is in ieder geval een zeer belangrijke gebeurtenis voor de cyberveiligheid en voor de wereldwijde, voortdurende strijd tegen ransomware in het algemeen. Hoewel ransomware-aanvallen in het lopende jaar en daarna ongetwijfeld zullen doorgaan, is dit ongewone geval van teruggevorderd geld een lichtpuntje in een verder somber landschap.

June 8, 2021

Laat een antwoord achter