Nowo utworzona jednostka federalna odzyskuje część okupu za rurociąg kolonialny

W zaskakującym obrocie wydarzeń Departament Sprawiedliwości Stanów Zjednoczonych ogłosił, że był w stanie odzyskać większą część zapłaty okupu, którą Colonial Pipeline został zmuszony do uiszczenia po ataku ransomware na swoją infrastrukturę. Oświadczenie to złożyła Lisa Monaco, pełniąca funkcję zastępcy prokuratora generalnego USA.

Pieniądze zostały odzyskane dzięki pracy i wysiłkom nowo utworzonego federalnego zespołu cyberekspertów. Jednostka ta nazywa się Ransomware and Digital Extortion Task Force. Powodem utworzenia nowego zespołu było to, co Departament Sprawiedliwości nazywa „epidemią” ataków ransomware, które miały miejsce w ciągu ostatniego roku, powołując się na coraz bardziej zaawansowane ataki złych aktorów i ich rosnącą częstotliwość.

Colonial Pipeline został trafiony przez oprogramowanie ransomware uruchomione przez Darkside i powiązanych z nim złych aktorów w maju. Ponieważ firma Colonial jest jednym z największych dostawców paliw płynnych w całych Stanach Zjednoczonych, prowadząc operacje krytyczne dla ogromnych fragmentów infrastruktury zlokalizowanych na wschodnim wybrzeżu i przyległych regionach, firma była zmuszona zapłacić okup w wysokości około 4,5 miliona dolarów.

Wielkie pytanie brzmi: w jaki sposób władze federalne mogły dostać się na konto, na które wpłynęły okup i odzyskać pieniądze? Dokumentacja udostępniona publicznie i związana ze sprawą Colonial stwierdza, że władze faktycznie użyły właściwego klucza szyfrującego, który był powiązany z kontem, na którym dokonano zapłaty okupu. Jednak w dokumentach nie ma konkretnej wzmianki o tym, w jaki sposób ten klucz został uzyskany.

Obecnie istnieją trzy teorie dotyczące tego, w jaki sposób nowy zespół ds. cyberbezpieczeństwa zdobył klucz, zaproponowany przez April Doss, dyrektora wykonawczego Institute for Technology Law and Policy, części Georgetown Law - największej w kraju szkoły prawniczej.

Pierwsza teoria mówi, że otrzymali napiwek od podmiotu związanego z atakiem lub w jakiś sposób z DarkSide. Inna teoria mówi, że federalni mogli zdobyć klucz w wyniku trwającego śledztwa w sprawie DarkSide, które rozpoczęto jeszcze przed atakiem Kolonialnym.

Trzecia teoria mówi, że FBI zdołało uzyskać informacje z Bitcoina lub konkretnej giełdy kryptograficznej, która współpracowała z kontami użytymi do odebrania płatności okupu i utrudnienia jej śledzenia. Chociaż nie ma twardych informacji, że giełda była chętna do pomocy FBI i współpracowała w tym przypadku, gdyby rzeczywiście tak było, byłoby to bardzo ważne wydarzenie z implikacjami dla przyszłej walki z oprogramowaniem ransomware.

Doss w końcu dodaje, że najmniej prawdopodobnym scenariuszem, jakkolwiek romantycznie by to nie zabrzmiało, jest to, że FBI zdołało włamać się do klucza na własną rękę.

Duża część 2,3 miliona dolarów, która została pomyślnie odzyskana, szokująco nadal znajdowała się na pierwszym koncie, na które zapłacono okup. To dość duże niedopatrzenie ze strony złych aktorów odpowiedzialnych za te konta.

W każdym razie fakt odzyskania w ten sposób głośnej płatności okupu jest bardzo ważnym wydarzeniem dla bezpieczeństwa cybernetycznego i ogólnie dla globalnej, toczącej się walki z oprogramowaniem ransomware. Podczas gdy ataki ransomware bez wątpienia będą kontynuowane w bieżącym roku i później, ten niezwykły przypadek odzyskania pieniędzy jest plamą światła na ponurym krajobrazie.