• Tue. Jan 18th, 2022

PDF2DOCXFREE

Enkelt kan vara svårare än komplext

USA tar del av lösen från hackare i Colonial Pipeline Attack

Byadmin

Jun 8, 2021

WASHINGTON – Justitiedepartementet sa på måndagen att det hade tagit mycket av lösensumman som en stor amerikansk pipelinoperatör hade betalat förra månaden till ett ryskt hackingskollektiv och vänt borden på hackarna genom att nå en digital plånbok för att rycka tillbaka miljoner dollar i kryptovaluta.

Utredare spårade de senaste veckorna 75 Bitcoins till ett värde av mer än 4 miljoner dollar Colonial Pipeline hade betalat till hackarna när attacken stängde av sina datorsystem, vilket ledde till bränslebrist, a stigande bensinpriser och kaos hos flygbolagen.

Federal utredare spårade lösensumman när den rörde sig genom en labyrint av minst 23 olika elektroniska konton som tillhör DarkSide, hackinggruppen, innan de landade i en som en federal domare tillät dem att bryta sig in enligt, enligt brottsbekämpande tjänstemän och domstolshandlingar.

Justitiedepartementet sa att det beslagtog 63,7 Bitcoins, värderade till cirka 2,3 miljoner dollar. (Värdet på en Bitcoin har sjunkit under den senaste månaden.)

“Den sofistikerade användningen av teknik för att hålla företag och till och med hela städerna som gisslan för vinst är definitivt en utmaning från 2000-talet, men det gamla ordspråket” följ pengarna “gäller fortfarande”, säger Lisa O. Monaco, biträdande justitieminister, vid presskonferens vid justitieministeriet.

Brottsbekämpande tjänstemän betonade beslaget i ett försök att varna cyberbrottslingar om att USA planerade att rikta sig mot deras vinster, som ofta uppnås genom kryptovalutor som Bitcoin. Det var också avsett att uppmuntra offer för ransomware-attacker – som inträffar var åttonde minuti genomsnitt – att meddela myndigheterna att de ska få tillbaka lösen.

I åratal har offren valt att tyst betala cyberbrottslingar och beräknar att betalningen skulle vara billigare än att bygga om data och tjänster. Även om FBI avskräcker lösenutbetalningar, är de lagliga och till och med avdragsgilla. Men betalningarna – som sammanlagt sammanlagt miljarder dollar – har finansierat och uppmuntrat ransomware-grupper.

Justitiedepartementets tjänstemän sa att Colonials villighet att snabbt kretsa i FBI hjälpte till att få tillbaka lösenandelen, och de krediterade företaget för dess roll i en först-i-sitt slag av en ny ransomware-arbetsgrupp i avdelningen för att kapa en cyberbrott koncernens vinster.

“Vi måste fortsätta ta cyberhot på allvar och investera därefter för att hårdna vårt försvar”, säger Joseph Blount, vd för Colonial, i ett uttalande. Herr Blount sa att efter att hans företag kontaktat FBI och justitieministeriet för att underrätta dem om attacken hjälpte utredarna kolonialen att förstå hackarna och deras taktik.

Justitiedepartementets tillkännagivande kom också före president Bidens planerade möte med Rysslands president Vladimir V. Putin nästa vecka i Genève, där Biden förväntas ta itu med vad amerikanska tjänstemän ser som Kremls vilja att ge skydd för hackare. Ryssland arresterar eller utlämnar vanligtvis inte misstänkta i ransomware-attacker.

New York Times rapporterade förra månaden hade Colonial Pipelines lösenutbetalning flyttats ur DarkSides Bitcoin-plånbok, men det var inte klart vem som hade orkestrerat flytten.

På måndag fyllde regeringen in några av ämnena. DarkSide fungerar genom att tillhandahålla ransomware till dotterbolag. I utbyte skördar DarkSide en minskning av sina vinster.

Tjänstemän sa att de hade identifierat ett virtuellt valutakonto, ofta kallat en plånbok, som DarkSide använde för att samla in betalningar från ett ransomwareoffer – identifierat i domstolspapper endast som Victim X, men vars hackningsdetaljer matchar Colonials. Tjänstemännen sa att en domare i norra distriktet i Kalifornien hade godkänt en mandat på måndag för att ta pengar från plånboken.

FBI började utreda DarkSide förra året och identifierade mer än 90 offer inom flera sektorer av ekonomin, inklusive tillverkning, juridik, försäkring, vård och energi, sa Paul M. Abbate, vice direktör för FBI, på presskonferensen.

DarkSide dök upp först i augusti och tros ha börjat som ett dotterbolag till en annan rysk hackinggrupp, kallad REvil, innan den öppnade sin egen verksamhet förra året.

Veckor efter DarkSide attackerade Colonial, REvil använde ransomware för att försöka pressa ut pengar från JBS, en av världens största köttförädlare. Attacken tvingade företaget att stänga nio nötköttplantor i USA, stör fjäderfä- och fläskväxter och hade betydande effekter på livsmedelsbutiker och restauranger, som har varit tvungna att ta mer eller ta bort köttprodukter från sina menyer.

Under de senaste veckorna har ransomware också förlamat sjukhuset som betjänar byarna i Florida, det största pensionssamhället i USA. TV-nätverk; NBA och minor league basebollag; och till och med färjor till Nantucket och Martha’s Vineyard i Massachusetts.

Avsnitten har höjt digitala sårbarheter till det nationella medvetandet. Vita husets tjänstemän sa förra veckan att de arbetade för att ta itu med problem med kryptovaluta, vilket har möjliggjort ransomware-attacker i flera år.

Förra veckan, Christopher A. Wray, FBI-direktören, jämförde hotet om ransomware-attacker till utmaningen med global terrorism under dagarna efter attackerna den 11 september 2001.

“Det finns många paralleller, det är mycket viktigt och mycket fokus av oss på störningar och förebyggande,” sa han. “Det finns ett delat ansvar, inte bara mellan myndigheter, utan över den privata sektorn och till och med den genomsnittliga amerikanen.”

Wray tillade att FBI undersökte 100 mjukvaruvarianter som används i ransomware-attacker, vilket visar omfattningen av problemet.

Även om amerikanska tjänstemän har varit noga med att inte direkt knyta ransomware-attackerna till Ryssland, har Biden, Mr Wray och andra sagt att landet skyddar cyberbrottslingar.

I många fall behandlar Ryssland dem som nationella tillgångar. Under 2014 brott mot Yahoo, till exempel, ryska underrättelsetjänstemän arbetade sida vid sida med cyberbrottslingar, så att de kunde dra nytta av stulna data, samtidigt som de instruerade dem att skicka e-postkonton till FSB, efterträdesbyrån till den sovjetiska KGB

Herr Putin har liknat hackare med “artister som vaknar på morgonen på gott humör och börjar måla.” Verkligheten, säger amerikanska tjänstemän, är att de ger herr Putin och ryska underrättelsetjänster ett lager av trolig förnekbarhet.

Biden förväntas inte bara ta upp frågan med Putin, utan även utrikesdepartementet diskuterar med ett dussin andra länder om sätt att ömsesidigt pressa Ryssland att ta itu med cyberbrott.

“Om den ryska regeringen vill visa att det är allvarligt med denna fråga, finns det mycket utrymme för dem att visa några verkliga framsteg som vi inte ser”, sa Wray förra veckan.

Anne Neuberger, biträdande nationell säkerhetsrådgivare för cyber och framväxande teknik, varnade amerikanska företag förra veckan hade ransomware tagit en mörk vändning och noterade ett nytt skifte “från att stjäla data till att störa operationer.”

Hackarna siktade direkt på Colonials faktureringssystem. Med de frysta fann chefer att de inte hade något sätt att debitera kunder och förebyggande stänga av verksamheten. A konfidentiell myndighetsbedömning bestämde sig för att om rörledningen hade stängts i ytterligare två dagar, kunde attacken ha fått masstransit och kemiska raffinaderier, som är beroende av Colonial för att transportera diesel, på knä.

Vita huset höll nödmöten för att ta itu med attacken. Biden-administrationen meddelade att den skulle kräva att rörledningsföretag skulle göra det rapportera betydande cyberattacker och att regeringen skulle skapa 24-timmars beredskapscentra för att hantera allvarliga hackningar.

Cybersäkerhetsexperter välkomnade justitieministeriets drag.

“Det har blivit klart att vi måste använda flera verktyg för att stoppa tidvattnet” av ransomware, säger John Hultquist, en vice president på cybersäkerhetsföretaget FireEye. “Ett starkare fokus på störningar kan avskräcka detta beteende, som växer i en ond cirkel.”

David E. Sanger bidragit rapportering.

Leave a Reply

Your email address will not be published. Required fields are marked *