El anuncio confirma los informes anteriores de FGTELEVISION sobre la operación dirigida por el FBI, que se llevó a cabo con la cooperación de Colonial Pipeline, la compañía que fue víctima del ataque de ransomware en cuestión.
Específicamente, el Departamento de Justicia dijo que incautó aproximadamente $ 2.3 millones en Bitcoins pagados a individuos en un grupo de piratería criminal conocido como DarkSide. El FBI dijo que ha estado investigando DarkSide, que se dice que comparte sus herramientas de malware con otros piratas informáticos criminales, durante más de un año.
Pero detrás de escena, la compañía había tomado las primeras medidas para notificar al FBI y siguió las instrucciones que ayudaron a los investigadores a rastrear el pago a una billetera de criptomonedas utilizada por los piratas informáticos, que se cree que tiene su sede en Rusia.
«Seguir el dinero sigue siendo una de las herramientas más básicas, pero poderosas, que tenemos», dijo el lunes la fiscal general adjunta Lisa Monaco durante el anuncio del Departamento de Justicia, que siguió a los informes de FGTELEVISION sobre la operación de recuperación. «Los pagos de rescate son el combustible que impulsa el motor de extorsión digital, y el anuncio de hoy demuestra que Estados Unidos utilizará todas las herramientas disponibles para hacer que estos ataques sean más costosos y menos rentables para las empresas delictivas».
La orden de incautación fue autorizada a través de la Fiscalía Federal para el Distrito Norte de California.
«Los extorsionistas nunca verán este dinero», dijo el lunes la fiscal federal interina Stephanie Hinds para el Distrito Norte de California en la conferencia de prensa en el Departamento de Justicia. «Las nuevas tecnologías financieras que intentan anonimizar los pagos no proporcionarán una cortina detrás de la cual los delincuentes podrán robar los bolsillos de los estadounidenses trabajadores».
Blount emitió un comunicado tras el anuncio del Departamento de Justicia.
«Cuando Colonial fue atacado el 7 de mayo, nos comunicamos en silencio y rápidamente con las oficinas locales del FBI en Atlanta y San Francisco, y con los fiscales en el norte de California y Washington DC para compartir con ellos lo que sabíamos en ese momento. El Departamento de Justicia y el FBI fueron fundamentales para ayudarnos a comprender al actor de la amenaza y sus tácticas. Sus esfuerzos para responsabilizar a estos criminales y llevarlos ante la justicia son encomiables «, dijo Blount.
FGTELEVISION informó anteriormente que los funcionarios estadounidenses estaban buscando posibles agujeros en la seguridad personal o operativa de los piratas informáticos en un esfuerzo por identificar a los actores responsables, específicamente monitoreando cualquier pista que pudiera surgir en la forma en que mueven su dinero, uno de los fuentes familiarizadas con el esfuerzo dijeron.
«No quiero sugerir que esta sea la norma, pero ha habido casos en los que incluso hemos podido trabajar con nuestros socios para identificar las claves de cifrado, lo que permitiría a una empresa desbloquear sus datos, incluso sin pagar el rescate «, dijo.
‘El mal uso de la criptomoneda es un habilitador masivo’
La administración de Biden se ha centrado en la arquitectura menos regulada de los pagos con criptomonedas que permite un mayor anonimato a medida que intensifica sus esfuerzos para interrumpir los crecientes y cada vez más destructivos ataques de ransomware, luego de dos incidentes importantes en la infraestructura crítica.
«El uso indebido de la criptomoneda es un facilitador masivo aquí», dijo a FGTELEVISION la asesora adjunta de Seguridad Nacional, Anne Neuberger. «Esa es la forma en que la gente saca el dinero. Con el aumento del anonimato y la mejora de las criptomonedas, el aumento de los servicios de mezcla que esencialmente lavan fondos».
«Las empresas individuales se sienten presionadas, especialmente si no han hecho el trabajo de ciberseguridad, para pagar el rescate y seguir adelante», agregó Neuberger. «Pero a largo plazo, eso es lo que impulsa el rescate en curso [attacks]. Cuanto más se le paga a la gente, más se generan rescates cada vez mayores y más y más interrupciones potenciales «.
Si bien la administración Biden ha dejado en claro que necesita ayuda de empresas privadas para detener la reciente ola de ataques de ransomware, las agencias federales mantienen algunas capacidades que superan con creces lo que los socios de la industria pueden hacer por sí mismos y son expertos en rastrear la moneda utilizada para pagar a los grupos de ransomware. , FGTELEVISION informó anteriormente.
Pero la capacidad del gobierno para hacerlo de manera efectiva en respuesta a un ataque de ransomware es muy «dependiente de la situación», dijeron dos fuentes la semana pasada.
Una de las fuentes señaló que ayudar a recuperar el dinero pagado a los actores del ransomware es sin duda un área en la que el gobierno de EE. UU. Puede brindar asistencia, pero el éxito varía drásticamente y depende en gran medida de si hay agujeros en el sistema de los atacantes que puedan identificarse y explotarse.
En algunos casos, los funcionarios estadounidenses pueden encontrar a los operadores de ransomware y «poseer» su red a las pocas horas de un ataque, explicó una de las fuentes, señalando que permite a las agencias relevantes monitorear las comunicaciones del actor y potencialmente identificar actores clave adicionales en el grupo responsable.
Cuando los actores del ransomware son más cuidadosos con su seguridad operativa, incluida la forma en que mueven el dinero, interrumpir sus redes o rastrear la moneda se vuelve más complicado, agregaron las fuentes.
«Es realmente una mezcla», le dijeron a FGTELEVISION, refiriéndose a los diversos grados de sofisticación demostrados por los grupos involucrados en estos ataques.
FGTELEVISION informó anteriormente que hay indicios de que los actores individuales que atacaron a Colonial, junto con DarkSide, pueden haber sido piratas informáticos novatos o inexpertos, en lugar de profesionales experimentados, según tres fuentes familiarizadas con la investigación de Colonial.
Una de las fuentes también advirtió que no se debe dar demasiada importancia a las acciones del gobierno de EE. UU., Y le dijo a FGTELEVISION que las circunstancias únicas en torno a cada ataque y el nivel de detalle necesario para tomar medidas de manera efectiva contra estos grupos es parte de la razón por la que «no hay una solución milagrosa» cuando se trata de contrarrestar los ataques de ransomware.
«Se necesitarán defensas mejoradas, dividiendo la rentabilidad del ransomware y acción dirigida a los atacantes para detener esto», agregó la fuente, dejando en claro que interrumpir y rastrear los pagos con criptomonedas es solo una parte de la ecuación.
Los expertos en ciberseguridad se han hecho eco de ese sentimiento, quienes están de acuerdo en que los actores de ransomware usan criptomonedas para lavar sus transacciones.
«En la era de Bitcoin, lavar dinero es algo que cualquier nerd puede hacer. Ya no se necesita un gran aparato del crimen organizado», según Alex Stamos, ex director de seguridad de Facebook y cofundador de Krebs Stamos Group.
«La única forma en que podremos contraatacar eso como una sociedad entera es haciéndolo ilegal … Creo que tenemos que prohibir los pagos», agregó. «Eso va a ser realmente difícil. Las primeras empresas que se vean afectadas una vez que sea ilegal pagar, estarán en una situación muy difícil. Y vamos a ver mucho dolor y sufrimiento».
‘Está sucediendo todo el tiempo’
En las últimas semanas, los ciberdelincuentes se han dirigido cada vez más a organizaciones que desempeñan funciones críticas en amplias franjas de la economía de EE. UU. Las consecuencias de esos ataques muestran cómo los piratas informáticos ahora están causando el caos para los estadounidenses comunes a un ritmo y una escala sin precedentes.
«Incluso mientras hablamos, hay miles de ataques contra todos los aspectos del sector energético y el sector privado en general … está sucediendo todo el tiempo», dijo Granholm a Jake Tapper de FGTELEVISION en «State of the Union».
La fiscal general adjunta Lisa Monaco emitió un memorando interno en el que ordenaba a los fiscales estadounidenses que informaran sobre todas las investigaciones de ransomware en las que pudieran estar trabajando, en una medida diseñada para coordinar mejor el seguimiento de los delincuentes en línea por parte del gobierno estadounidense.
El memorando cita el ransomware, software malicioso que toma el control de una computadora hasta que la víctima paga una tarifa, como una amenaza urgente para los intereses de la nación.
«Debemos mejorar y centralizar nuestro seguimiento interno de las investigaciones y enjuiciamientos de los grupos de ransomware y la infraestructura y las redes que permiten que estas amenazas persistan», escribió Monaco.
El esfuerzo de seguimiento es amplio, y cubre no solo la búsqueda del Departamento de Justicia de los propios delincuentes de ransomware, sino también las herramientas de criptomonedas que utilizan para recibir pagos, las redes informáticas automatizadas que propagan el ransomware y los mercados en línea utilizados para anunciar o vender software malicioso.
La directiva del Departamento de Justicia exige que las oficinas de los fiscales estadounidenses presenten informes internos sobre cada nuevo incidente de ransomware que escuchen.
Christina Carrega, Brian Fung y Geneva Sands de FGTELEVISION contribuyeron con este reportaje.