Nybildad federal enhet återställer en del av kolonialrörelsens lösen

I en överraskande händelse tillkännagav USA: s justitieministerium att det kunde återkräva den bättre delen av lösenutbetalningen som Colonial Pipeline tvingades göra i kölvattnet av ransomware-attacken på dess infrastruktur. Tillkännagivandet gjordes av Lisa Monaco, i sin egenskap av USA: s biträdande justitieminister.

Pengarna återfanns tack vare arbetet och ansträngningarna från ett nybildat federalt team av cyberexperter. Enheten kallas Ransomware and Digital Extortion Task Force. Anledningen till att det nya laget bildades i första hand var vad DoJ kallar en "epidemi" i ransomware-attacker som ägde rum det senaste året, med hänvisning till de dåliga aktörerna alltmer avancerade attacker och deras växande frekvens.

Colonial Pipeline drabbades av ransomware som lanserades av Darkside och associerade dåliga skådespelare i maj. Med Colonial som en av de största leverantörerna av flytande bränsle i hela USA, med verksamhet som är kritisk för enorma bitar av infrastruktur på östkusten och angränsande regioner, tvingades företaget att betala lösen på cirka 4,5 miljoner dollar.

Den stora frågan är, hur kunde de federala myndigheterna komma in på kontot som fick lösenutbetalningen och få tillbaka pengarna? Dokumentationen som publicerades offentligt och relaterade till kolonialfallet säger att myndigheter faktiskt använde rätt krypteringsnyckel som var associerad med kontot som fick lösenbetalningen. Dokumenten nämner dock inte hur nyckeln erhölls.

Det finns för närvarande tre teorier om hur det nya cybersäkerhetsteamet fick tag i nyckeln, som erbjuds av April Doss, verkställande direktör för Institute for Technology Law and Policy, en del av Georgetown Law - landets största lagskola.

Den första teorin är att de fick ett tips från en enhet som är associerad med attacken eller med DarkSide på något sätt. En annan teori föreskriver att federalerna har kunnat få nyckeln till följd av en pågående utredning av DarkSide som lanserades redan innan kolonialattacken ägde rum.

Den tredje teorin är att FBI lyckades få information från Bitcoin eller den specifika kryptobörsen som arbetade med de konton som användes för att studsa lösenbetalningen och göra det ännu svårare att spåra. Även om det inte finns någon hård information om att utbytet var villigt att hjälpa FBI och samarbetade i detta fall, skulle detta verkligen vara fallet, skulle detta vara en mycket viktig händelse med konsekvenser för den framtida kampen med ransomware.

Doss tillägger äntligen att det minst troliga scenariot, hur romantiskt det än låter, är att FBI lyckades brute-force nyckeln på egen hand.

Den stora biten på 2,3 miljoner dollar som har återhämtats framgångsrikt satt fortfarande chockerande på det allra första kontot som lösen betalades till. Detta är en ganska stor övervakning av en del av de dåliga skådespelarna som ansvarar för dessa konton.

I vilket fall som helst är det faktum att en högprofilerad lösenbetalning återvunnits på detta sätt en mycket viktig händelse för cybersäkerhet och för den globala pågående kampen mot ransomware i allmänhet. Medan ransomware-attacker utan tvekan kommer att fortsätta under innevarande år och därefter, är detta ovanliga fall av återvunna pengar en plats i ett annars dyster landskap.