El Departamento de Justicia de EE.UU. ha conseguido una rara victoria contra los delincuentes de ransomware esta semana, al recuperar la mayor parte de los Bitcoin que los delincuentes obtuvieron tras un ataque de alto nivel a Colonial Pipeline.
Tal y como relata el New York Times, la victoria de los federales contra los hackers muestra cómo se puede rastrear el Bitcoin en su red pública, un hecho bien conocido por los versados en criptomonedas, pero menos conocido por el público en general. Pero lo que el Times y otros no explican es cómo el Departamento de Justicia consiguió el Bitcoin en primer lugar.
El misterio es especialmente desconcertante ya que el ataque de la banda de ransomware fue lo suficientemente sofisticado como para paralizar el suministro de energía de la costa este. Si la banda pudo hacer eso, ¿cómo pudieron ser tan tontos como para poner el rescate de Bitcoin en una cartera digital que estaba al alcance de las fuerzas de seguridad de Estados Unidos?
En un típico ataque de ransomware, las víctimas no pueden recuperar el Bitcoin porque los autores y su cartera se encuentran en el extranjero. Claro, es posible rastrear los pagos en la cadena de bloques pública. Pero los delincuentes suelen meter los Bitcoins en los llamados mezcladores -servicios que mezclan los Bitcoins con otros fondos o los convierten en otras criptodivisas- y los dispersan en otros monederos, haciendo que los fondos sean casi imposibles de confiscar. ¿Qué pasó con el rescate de Colonial Pipeline?
Dmitry Smilyanets tiene una buena idea. Analista de inteligencia de amenazas en la empresa de ciberseguridad Record Future, Smilyanets es un experto en ransomware y criptodivisas, y dijo a Decrypt que cree que los ladrones del oleoducto son meros aficionados que dirigieron una operación franquiciada dirigida por otros autores intelectuales tras bastidores.
La prueba que aporta es que el Departamento de Justicia sólo recuperó 63,7 de los 75 Bitcoins pagados en el rescate. Los 11,3 Bitcoins que faltan suponen el 15% del rescate, una cifra que es la comisión habitual por utilizar el ransomware, que es elaborado por un grupo en la sombra llamado DarkSide. El grupo alquila sus herramientas a otros hackers que las han utilizado para extorsionar más de 90 millones de dólares en total.
El resultado es que la parte no recuperada del rescate de la tubería fue a una wallet controlada por DarkSide, a la que el Departamento de Justicia no pudo echar mano. Eso, por supuesto, no explica cómo los federales -que dicen que "no quieren renunciar a sus habilidades"- se hicieron con el resto.
La respuesta, dice Smilyanets, es que los aficionados cometieron un error clave al codificar la clave privada de su monedero Bitcoin en el paquete de ransomware más grande que desplegaron. Cometieron otro error, dice, cuando alquilaron un servidor en Estados Unidos gestionado por un proveedor de la nube llamado Digital Ocean.
Los delincuentes del ransomware alquilaron ese servidor, dice Smilyanets, para acelerar el proceso de exfiltración de los datos que robaron al operador del oleoducto a otro país. La cantidad de datos es enorme, por lo que el uso de un intermediario como Digital Ocean para almacenar y transmitir temporalmente los datos en el extranjero hace que la operación del ransomware sea más eficiente.
Pero como explicó Smilyanets, parece que los delincuentes también incluyeron la clave privada de su monedero de Bitcoin entre los demás datos que canalizaron a Digital Ocean.
El diseño del sistema de cifrado de Bitcoin hace que sea fácil descifrar la clave pública de un monedero de Bitcoin si se conoce la privada (aunque no al revés). Si el Departamento de Justicia obtuviera tanto la clave pública como la privada, habría sido fácil confiscar el Bitcoin, robando así a los hackers que habían extorsionado al operador del oleoducto.
Smilyanets dice que todo esto apunta a una operación descuidada por parte de los hackers, que sospecha que son jóvenes que, ebrios por el éxito de su plan de extorsión, se demoraron en cerrar el servidor y trasladar el Bitcoin a un lugar seguro.
Mientras tanto, Smilyanets dice que la gravedad del ataque a la tubería provocó una respuesta inusualmente rápida y eficiente por parte del Departamento de Justicia y otros.
"Implicó una rápida cooperación entre las fuerzas de seguridad y las empresas privadas de inteligencia de amenazas y datos", dijo.
Todo esto sugiere que los autores del ransomware fueron descuidados, pero también que tuvieron mala suerte al llevar a cabo la travesura del oleoducto en un momento de nuevas contramedidas por parte de las fuerzas de seguridad de Estados Unidos, contramedidas que incluyen la creación de un nuevo grupo de trabajo sobre ransomware y extorsión digital.,
Hay otras teorías, por supuesto, sobre cómo las fuerzas del orden estadounidenses recuperaron la mayor parte de los Bitcoins pagados por Colonial Pipeline. Una posibilidad, apuntada por el Times, es que los federales hayan colocado un espía humano dentro de la red de DarkSide y hayan pirateado sus ordenadores, pero esto parece poco probable dado que DarkSide siguió recibiendo su parte del 15% y que el espía no avisó a Colonial Pipeline en primer lugar.
Mientras tanto, algunos sugirieron que el gobierno de EE.UU. se había apoderado del rescate rompiendo la encriptación de Bitcoin, una sugerencia que es claramente errónea, pero que, no obstante, provocó el desplome del precio de Bitcoin. Desde entonces se ha recuperado.
Por ahora, la teoría de Smilyanets -que los piratas informáticos del oleoducto eran aficionados que se descuidaron al dejar una clave privada donde podía encontrarse en un servidor estadounidense- es la más sólida. Y la teoría más sólida suele ser la correcta.