Unidade federal recém-formada recupera parte do resgate do oleoduto colonial

Em uma reviravolta surpreendente, o Departamento de Justiça dos Estados Unidos anunciou que conseguiu recuperar a maior parte do pagamento do resgate que a Colonial Pipeline foi forçada a fazer na sequência do ataque de ransomware à sua infraestrutura. O anúncio foi feito por Lisa Monaco, na qualidade de Procuradora-Geral Adjunta dos Estados Unidos.

O dinheiro foi recuperado graças ao trabalho e aos esforços de uma equipe federal de especialistas cibernéticos recém-formada. A unidade é chamada de Ransomware and Digital Extortion Task Force. A razão pela qual a nova equipe foi formada em primeiro lugar foi o que o DoJ chama de "epidemia" em ataques de ransomware ocorridos no ano passado, citando os malfeitores ataques cada vez mais avançados e sua frequência crescente.

A Colonial Pipeline foi atingida por um ransomware lançado pela Darkside e malfeitores associados em maio. Com a Colonial sendo um dos maiores fornecedores de combustível líquido em todos os Estados Unidos, com operações críticas para grandes pedaços de infraestrutura localizados na costa leste e regiões adjacentes, a empresa foi forçada a pagar o resgate de cerca de US $ 4,5 milhões.

A grande questão é: como as autoridades federais conseguiram entrar na conta que recebeu o pagamento do resgate e recuperar os fundos? A documentação divulgada publicamente e relacionada ao caso colonial afirma que as autoridades realmente usaram a chave de criptografia adequada que estava associada à conta que recebeu o pagamento do resgate. No entanto, os documentos não fazem nenhuma menção específica de como essa chave foi obtida.

Existem atualmente três teorias sobre como a nova equipe de segurança cibernética conseguiu a chave, oferecidas por April Doss, diretora executiva do Institute for Technology Law and Policy, parte da Georgetown Law - a maior faculdade de direito do país.

A primeira teoria é que eles receberam uma dica de uma entidade associada ao ataque ou de alguma forma ao DarkSide. Outra teoria estipula que os federais podem ter sido capazes de obter a chave como resultado de uma investigação em andamento sobre DarkSide que foi lançada antes mesmo do ataque colonial acontecer.

A terceira teoria é que o FBI conseguiu obter informações do Bitcoin ou da troca de criptografia específica que funcionava com as contas usadas para devolver o pagamento do resgate e para torná-lo ainda mais difícil de rastrear. Mesmo que não haja nenhuma informação concreta de que a bolsa estava disposta a ajudar o FBI e cooperou nesta instância, se esse fosse o caso, este seria um evento muito significativo com implicações para a batalha futura com o ransomware.

Doss finalmente acrescenta que o cenário menos provável, por mais romântico que possa parecer, é que o FBI tenha conseguido usar a força bruta por conta própria.

O grande pedaço de $ 2,3 milhões que foi recuperado com sucesso ainda estava na primeira conta para a qual o resgate foi pago. Este é um descuido muito grande por parte dos malfeitores responsáveis por essas contas.

De qualquer forma, o fato de um pagamento de resgate de alto perfil ter sido recuperado dessa forma é um evento muito significativo para a segurança cibernética e para a batalha global e contínua contra o ransomware em geral. Embora os ataques de ransomware, sem dúvida, continuem no ano em curso e além, este caso incomum de dinheiro recuperado é um ponto de luz em um cenário de outra forma desolado.