El Departamento de Justicia promocionó la recuperación de 2,3 millones de dólares, aproximadamente la mitad del rescate cobrado por los piratas informáticos en el ataque Colonial Pipeline el mes pasado. Los expertos dicen que fue un resultado sorprendente de un delito cada vez más frecuente y severo.
“El rescate rara vez se recupera”, dijo April Falcon Doss, directora ejecutiva del Instituto de Derecho y Política Tecnológica de Georgetown Law, quien lo describió como “una gran victoria” para el gobierno. “Lo que no sabemos es si esto allanará el camino para futuros éxitos similares”.
Eso es porque hay varios factores inexplicables que contribuyeron al éxito de la operación.
Falcon Doss
Un nuevo grupo de trabajo tiene la clave Durante una conferencia de prensa el lunes, los principales funcionarios encargados de hacer cumplir la ley explicaron que el dinero fue recuperado por un Grupo de Trabajo de Extorsión Digital recientemente lanzado, que se había creado como parte de la respuesta del gobierno a una oleada de ataques cibernéticos.
Para resolver el ataque a Colonial Pipeline, la compañía pagó alrededor de $ 4,4 millones el 8 de mayo para recuperar el acceso a sus sistemas informáticos después de que sus oleoductos y gasoductos en el este de EE. UU. fueran paralizados por los hackers de ransomware (Secuestro de datos cibernéticos).
Las víctimas de estos ataques reciben instrucciones muy específicas sobre cuándo y dónde enviar el dinero, por lo que no es raro que los investigadores rastreen las sumas de pago hasta las cuentas de criptomonedas, típicamente Bitcoin, creadas por las organizaciones criminales detrás de la extorsión. Lo inusual es poder desbloquear esas cuentas para recuperar los fondos.
Los documentos judiciales publicados en el caso Colonial Pipeline dicen que el FBI ingresó utilizando la clave de cifrado vinculada a la cuenta de Bitcoin a la que se entregó el dinero del rescate. Sin embargo, los funcionarios no han revelado cómo obtuvieron esa clave. Una de las razones por las que a los delincuentes les gusta usar Bitcoin y otras criptomonedas es el anonimato de todo el sistema, así como la idea de que solo se puede acceder a los fondos de cualquier billetera de criptomonedas determinada con una clave digital compleja.
“La clave privada es, desde una perspectiva tecnológica, lo que hizo posible la incautación de estos fondos”, dijo Doss. Añadió que los ciberatacantes harán todo lo posible para proteger cualquier información que pueda llevar a alguien a asociar la clave con un individuo u organización: “Ellos realmente intentarán cubrir sus huellas”.
Es probable que los funcionarios obtengan la clave privada de una de estas tres formas Una posibilidad es que el FBI haya sido alertado por una persona asociada con el ataque. O la persona o el grupo detrás del esquema, dice Doss, o alguien asociado con DarkSide, un desarrollador de ransomware con sede en Rusia que alquila su malware a otros delincuentes por una tarifa o una parte de las ganancias.
Una segunda teoría es que el FBI descubrió la clave gracias a un delincuente descuidado.
El subdirector del FBI, Paul Abbate, dijo el lunes que la oficina ha estado investigando a DarkSide desde el año pasado.
Doss señala que es probable que en su vigilancia, los funcionarios pudieran haber tenido órdenes de registro que les permitieran acceder a los correos electrónicos u otras comunicaciones de una o más de las personas que participaron en el esquema. “Y a través de eso, pudieron acceder a la clave privada porque tal vez alguien les envió algo por correo electrónico para ayudarlos a rastrear”, dice.
Doss dice que la tercera posibilidad es que el FBI rastreó la clave aprovechando la información que obtuvo de Bitcoin o del intercambio de criptomonedas donde el dinero había estado rebotando de una cuenta a otra desde que se pagó por primera vez.
Ella dice que no se sabe si alguno de los intercambios ha estado dispuesto a cooperar con el FBI o responder a las citaciones de la agencia, pero si lo están, podría cambiar las reglas del juego en la lucha contra los ataques de ransomware.
Lo que no es probable es que el FBI de alguna manera haya pirateado la clave por sí solo, según Doss. Si bien admite que es teóricamente posible, “la idea de que el FBI, a través de algún tipo de actividad de descifrado de fuerza bruta, hubiera descubierto la clave privada parece ser el escenario menos probable”.
Independientemente, dice Doss, si las autoridades pueden eliminar consistentemente las ganancias de los ataques, probablemente eliminarán el crimen.
Seguir la ruta del dinero no tomó mucho tiempo Dicho esto, los atacantes cometieron un error inusual en este caso al no mantener el dinero en movimiento. Los $ 2.3 millones que finalmente se recuperaron todavía estaban en la misma cuenta de Bitcoin a la que se les había entregado.
“Realmente no se ve eso con los delitos cibernéticos”, dijo Doss.
Por ejemplo, dijo, hay otra estafa en la que se engaña a una empresa para que envíe un pago utilizando instrucciones falsas. “Los fondos se transfieren a cuentas en bancos legítimos. Los bancos no se dan cuenta de que la cuenta fue creada por un actor fraudulento. Y tan pronto como esos fondos llegan a la cuenta, los delincuentes los retiran casi instantáneamente de la cuenta. “, Dijo Doss. “En 72 horas, esos fondos se han ido y es muy difícil rastrearlos”.
Doss sospecha que en el ataque a Colonial Pipeline, los atacantes confiaban demasiado en que no se podía rastrear el dinero y que su clave privada estaba segura.
“No puedes simplemente ceder”. Cómo explica un experto negociar con los ciberdelincuentes Frustrar más de estos esquemas de extorsión podría volverse crítico para los EE. UU. economía. Según Coalition, una empresa de ciberseguridad que rastrea las reclamaciones de seguros, las demandas de rescate se duplicaron de 2019 a 2020.
Esos costos todavía parecen dispararse este año. En marzo, CNA Financial Corp., una de las compañías de seguros más grandes de EE. UU., pagó 40 millones de dólares después de un ataque de ransomware, informó Bloomberg.
En abril, la banda de ransomware REvil exigió 50 millones de dólares a Apple a cambio de datos y esquemas que afirmaron haber robado y que estaban enfocados en productos inéditos, informó Wired. No está claro si Apple cumplió con las demandas de REvil, pero el grupo criminal amenazó con subastar la información si no lo hacía.
☺
El Departamento de Justicia promocionó la recuperación de 2,3 millones de dólares, aproximadamente la mitad del rescate cobrado por los piratas informáticos en el ataque Colonial Pipeline el mes pasado. Los expertos dicen que fue un resultado sorprendente de un delito cada vez más frecuente y severo.
“El rescate rara vez se recupera”, dijo April Falcon Doss, directora ejecutiva del Instituto de Derecho y Política Tecnológica de Georgetown Law, quien lo describió como “una gran victoria” para el gobierno. “Lo que no sabemos es si esto allanará el camino para futuros éxitos similares”.
Eso es porque hay varios factores inexplicables que contribuyeron al éxito de la operación.
Un nuevo grupo de trabajo tiene la clave
Durante una conferencia de prensa el lunes, los principales funcionarios encargados de hacer cumplir la ley explicaron que el dinero fue recuperado por un Grupo de Trabajo de Extorsión Digital recientemente lanzado, que se había creado como parte de la respuesta del gobierno a una oleada de ataques cibernéticos.
Para resolver el ataque a Colonial Pipeline, la compañía pagó alrededor de $ 4,4 millones el 8 de mayo para recuperar el acceso a sus sistemas informáticos después de que sus oleoductos y gasoductos en el este de EE. UU. fueran paralizados por los hackers de ransomware (Secuestro de datos cibernéticos).
Las víctimas de estos ataques reciben instrucciones muy específicas sobre cuándo y dónde enviar el dinero, por lo que no es raro que los investigadores rastreen las sumas de pago hasta las cuentas de criptomonedas, típicamente Bitcoin, creadas por las organizaciones criminales detrás de la extorsión. Lo inusual es poder desbloquear esas cuentas para recuperar los fondos.
Los documentos judiciales publicados en el caso Colonial Pipeline dicen que el FBI ingresó utilizando la clave de cifrado vinculada a la cuenta de Bitcoin a la que se entregó el dinero del rescate. Sin embargo, los funcionarios no han revelado cómo obtuvieron esa clave. Una de las razones por las que a los delincuentes les gusta usar Bitcoin y otras criptomonedas es el anonimato de todo el sistema, así como la idea de que solo se puede acceder a los fondos de cualquier billetera de criptomonedas determinada con una clave digital compleja.
“La clave privada es, desde una perspectiva tecnológica, lo que hizo posible la incautación de estos fondos”, dijo Doss. Añadió que los ciberatacantes harán todo lo posible para proteger cualquier información que pueda llevar a alguien a asociar la clave con un individuo u organización: “Ellos realmente intentarán cubrir sus huellas”.
Es probable que los funcionarios obtengan la clave privada de una de estas tres formas
Una posibilidad es que el FBI haya sido alertado por una persona asociada con el ataque. O la persona o el grupo detrás del esquema, dice Doss, o alguien asociado con DarkSide, un desarrollador de ransomware con sede en Rusia que alquila su malware a otros delincuentes por una tarifa o una parte de las ganancias.
Una segunda teoría es que el FBI descubrió la clave gracias a un delincuente descuidado.
El subdirector del FBI, Paul Abbate, dijo el lunes que la oficina ha estado investigando a DarkSide desde el año pasado.
Doss señala que es probable que en su vigilancia, los funcionarios pudieran haber tenido órdenes de registro que les permitieran acceder a los correos electrónicos u otras comunicaciones de una o más de las personas que participaron en el esquema. “Y a través de eso, pudieron acceder a la clave privada porque tal vez alguien les envió algo por correo electrónico para ayudarlos a rastrear”, dice.
Doss dice que la tercera posibilidad es que el FBI rastreó la clave aprovechando la información que obtuvo de Bitcoin o del intercambio de criptomonedas donde el dinero había estado rebotando de una cuenta a otra desde que se pagó por primera vez.
Ella dice que no se sabe si alguno de los intercambios ha estado dispuesto a cooperar con el FBI o responder a las citaciones de la agencia, pero si lo están, podría cambiar las reglas del juego en la lucha contra los ataques de ransomware.
Lo que no es probable es que el FBI de alguna manera haya pirateado la clave por sí solo, según Doss. Si bien admite que es teóricamente posible, “la idea de que el FBI, a través de algún tipo de actividad de descifrado de fuerza bruta, hubiera descubierto la clave privada parece ser el escenario menos probable”.
Seguir la ruta del dinero no tomó mucho tiempo
Dicho esto, los atacantes cometieron un error inusual en este caso al no mantener el dinero en movimiento. Los $ 2.3 millones que finalmente se recuperaron todavía estaban en la misma cuenta de Bitcoin a la que se les había entregado.
“Realmente no se ve eso con los delitos cibernéticos”, dijo Doss.
Por ejemplo, dijo, hay otra estafa en la que se engaña a una empresa para que envíe un pago utilizando instrucciones falsas. “Los fondos se transfieren a cuentas en bancos legítimos. Los bancos no se dan cuenta de que la cuenta fue creada por un actor fraudulento. Y tan pronto como esos fondos llegan a la cuenta, los delincuentes los retiran casi instantáneamente de la cuenta. “, Dijo Doss. “En 72 horas, esos fondos se han ido y es muy difícil rastrearlos”.
Doss sospecha que en el ataque a Colonial Pipeline, los atacantes confiaban demasiado en que no se podía rastrear el dinero y que su clave privada estaba segura.
“No puedes simplemente ceder”. Cómo explica un experto negociar con los ciberdelincuentes
Frustrar más de estos esquemas de extorsión podría volverse crítico para los EE. UU. economía. Según Coalition, una empresa de ciberseguridad que rastrea las reclamaciones de seguros, las demandas de rescate se duplicaron de 2019 a 2020.
Esos costos todavía parecen dispararse este año. En marzo, CNA Financial Corp., una de las compañías de seguros más grandes de EE. UU., pagó 40 millones de dólares después de un ataque de ransomware, informó Bloomberg.
En abril, la banda de ransomware REvil exigió 50 millones de dólares a Apple a cambio de datos y esquemas que afirmaron haber robado y que estaban enfocados en productos inéditos, informó Wired. No está claro si Apple cumplió con las demandas de REvil, pero el grupo criminal amenazó con subastar la información si no lo hacía.
PrisioeroEnArgentina.com
Junio 9, 2021