Estados Unidos recupera la mayor parte del rescate de Bitcoin de Colonial Pipeline tras un ciberataque

Se espera que el director ejecutivo del enorme oleoducto afectado por ransomware el mes pasado detalle la respuesta de su empresa al ciberataque y explique su decisión de autorizar un pago multimillonario cuando testifique ante el Congreso esta semana.

El director ejecutivo de Colonial Pipeline, Joseph Blount, se enfrentará al Comité de Seguridad Nacional del Senado el martes, un día después de que el Departamento de Justicia revelara que había recuperado la mayor parte del pago de rescate de 4,4 millones de dólares (3,6 millones de euros) que la empresa realizó con la esperanza de que su sistema volviera a estar en línea. Está prevista una segunda audiencia para el miércoles ante el Comité de Seguridad Nacional de la Cámara de Representantes.

El testimonio de Blount marca su primera aparición ante el Congreso desde el ataque de ransomware del 7 de mayo que llevó a Colonial Pipeline, con sede en Georgia, que suministra aproximadamente la mitad del combustible consumido en la costa este, a detener temporalmente sus operaciones. El ataque se ha atribuido a una banda de ciberdelincuentes con sede en Rusia que utiliza la variante del ransomware DarkSide, una de las más de 100 variantes que el FBI está investigando actualmente.

Poco después del ataque, la empresa decidió pagar un rescate de 75 bitcoins, valorados entonces en aproximadamente 4,4 millones de dólares (3,6 millones de euros). Aunque históricamente el FBI ha desalentado los pagos de ransomware por temor a fomentar ataques cibernéticos, los funcionarios de Colonial han dicho que consideraban que la transacción era necesaria para reanudar el negocio vital del transporte de combustible lo más rápido posible.

‘Disuadir y defender’

La operación para confiscar criptomonedas pagadas al grupo de hackers con sede en Rusia es la primera de su tipo llevada a cabo por un grupo de trabajo especializado en ransomware creado por el Departamento de Justicia de la administración Biden. Refleja una victoria poco común en la lucha contra el ransomware mientras los funcionarios estadounidenses se apresuran a enfrentar una amenaza que se acelera rápidamente y que apunta a industrias críticas en todo el mundo.

«Al perseguir todo el ecosistema que alimenta el ransomware y los ataques de extorsión digital, incluidos los ingresos delictivos en forma de moneda digital, continuaremos utilizando todos nuestros recursos para aumentar el costo y las consecuencias del ransomware y otros ataques cibernéticos». Dijo la fiscal general adjunta Lisa Mónaco en una conferencia de prensa en la que anunció la operación.

En un comunicado el lunes, Blount dijo que estaba agradecido por los esfuerzos del FBI y dijo que responsabilizar a los piratas informáticos e interrumpir sus actividades «es la mejor manera de disuadir y defenderse contra futuros ataques de esta naturaleza».

«El sector privado también tiene un papel igualmente importante que desempeñar y debemos seguir tomando en serio las amenazas cibernéticas e invertir en consecuencia para reforzar nuestras defensas», añadió.

Los ciberdelincuentes prefieren las criptomonedas porque permiten pagos directos en línea independientemente de la ubicación geográfica, pero en este caso, el FBI pudo identificar una billetera de moneda virtual utilizada por los piratas informáticos y recuperó las ganancias de allí, dijo Abbate.

El Departamento de Justicia no proporcionó detalles sobre cómo el FBI había obtenido una «clave» para la dirección bitcoin específica, pero dijo que las fuerzas del orden habían podido rastrear múltiples transferencias de la criptomoneda.

«Para los ciberdelincuentes con motivaciones financieras, especialmente aquellos presuntamente ubicados en el extranjero, cortar el acceso a los ingresos es una de las consecuencias más impactantes que podemos imponer», dijo Abbate.

Un negocio muy compartimentado

La cantidad de Bitcoin incautada (63,7, actualmente valorada en 2,3 millones de dólares (1,9 millones de euros) después de que el precio de Bitcoin cayera) ascendió al 85 por ciento del rescate total pagado, que es la cantidad exacta que la empresa de seguimiento de criptomonedas Elliptic dice creer. fue la toma del afiliado que llevó a cabo el ataque. El proveedor de software ransomware, DarkSide, se habría quedado con el 15 por ciento restante.

«Los extorsionadores nunca verán este dinero», dijo Stephanie Hinds, fiscal federal en funciones para el Distrito Norte de California, donde un juez autorizó el lunes la orden de incautación.

Los ataques de ransomware, en los que los piratas informáticos cifran los datos de una organización víctima y exigen una suma considerable a cambio de devolver la información, han florecido en todo el mundo. El año pasado fue el más costoso registrado en ataques de este tipo. Los piratas informáticos se han dirigido a industrias vitales, así como a hospitales y departamentos de policía.

Semanas después del ataque a Colonial Pipeline, un ataque de ransomware atribuido a REvil, una pandilla de habla rusa que ha realizado algunas de las mayores demandas de ransomware registradas en los últimos meses, interrumpió la producción en JBS SA de Brasil, la empresa procesadora de carne más grande del mundo.

El negocio del ransomware se ha convertido en un negocio altamente compartimentado, con el trabajo dividido entre el proveedor del software que bloquea los datos, los negociadores de rescates, los piratas informáticos que irrumpen en redes específicas, los piratas informáticos expertos en moverse sin ser detectados a través de esos sistemas y filtrar datos confidenciales, e incluso llamar Los centros en la India se emplearon para amenazar a las personas cuyos datos fueron robados para presionar para que pagaran extorsiones.