El Departamento de Justicia de EE.UU. ha conseguido una rara victoria contra los delincuentes de ransomware esta semana, al recuperar la mayor parte de los Bitcoin que los delincuentes obtuvieron tras un ataque de alto nivel a Colonial Pipeline.
Tal y como relata el New York Times, la victoria de los federales contra los hackers muestra cómo se puede rastrear el Bitcoin en su red pública, un hecho bien conocido por los versados en criptomonedas, pero menos conocido por el público en general. Pero lo que el Times y otros no explican es cómo el Departamento de Justicia consiguió el Bitcoin en primer lugar.
El misterio es especialmente desconcertante ya que el ataque de la banda de ransomware fue lo suficientemente sofisticado como para paralizar el suministro de energía de la costa este. Si la banda pudo hacer eso, ¿cómo pudieron ser tan tontos como para poner el rescate de Bitcoin en una cartera digitalcartera digital que estaba al alcance de las fuerzas de seguridad de Estados Unidos?
En un típico ataque de ransomware, las víctimas no pueden recuperar el Bitcoin porque los autores y su cartera se encuentran en el extranjero. Claro, es posible rastrear los pagos en la cadena de bloques pública. Pero los delincuentes suelen meter los Bitcoins en los llamados mezcladores -servicios que mezclan los Bitcoins con otros fondos o los convierten en otras criptodivisas- y los dispersan en otros monederos, haciendo que los fondos sean casi imposibles de confiscar. ¿Qué pasó con el rescate de Colonial Pipeline?
Departamento De Justicia Tratará al Ransomware Como al Terrorismo: Informe
Tras los ataques de ransomware contra Colonial Pipeline y la empresa de procesamiento de carne JBS, el Departamento de Justicia de Estados Unidos elevará el ransomware a un nivel de prioridad similar al del terrorismo, informa Reuters. El ransomware es un tipo de software malicioso que puede congelar o inutilizar una red hasta que se pague un rescate. Un grupo de hackers rusos llamado DarkSide utilizó el mes pasado un ransomware contra Colonial Pipeline, dejando fuera de servicio gran parte del...
Dmitry Smilyanets tiene una buena idea. Analista de inteligencia de amenazas en la empresa de ciberseguridad Record Future, Smilyanets es un experto en ransomware y criptodivisas, y dijo a Decrypt que cree que los ladrones del oleoducto son meros aficionados que dirigieron una operación franquiciada dirigida por otros autores intelectuales tras bastidores.
La prueba que aporta es que el Departamento de Justicia sólo recuperó 63,7 de los 75 Bitcoins pagados en el rescate. Los 11,3 Bitcoins que faltan suponen el 15% del rescate, una cifra que es la comisión habitual por utilizar el ransomware, que es elaborado por un grupo en la sombra llamado DarkSide. El grupo alquila sus herramientas a otros hackers que las han utilizado para extorsionar más de 90 millones de dólares en total.
El resultado es que la parte no recuperada del rescate de la tubería fue a una wallet controlada por DarkSide, a la que el Departamento de Justicia no pudo echar mano. Eso, por supuesto, no explica cómo los federales -que dicen que "no quieren renunciar a sus habilidades"- se hicieron con el resto.
JBS Pagó $11 Millones En Bitcoin a Criminales De Ransomware
JBS USA Holdings Inc, uno de los mayores procesadores de alimentos del mundo, pagó $11 millones de dólares en Bitcoin a los responsables de un ataque de ransomware. El pago se produce tras un ataque que dejó fuera de servicio las plantas de JBS que procesan aproximadamente el 20% del suministro de carne de Estados Unidos. "Fue muy doloroso pagar a los delincuentes, pero hicimos lo correcto para nuestros clientes", dijo Andre Nogueria, director ejecutivo de la división estadounidense de JBS SA, a...
La respuesta, dice Smilyanets, es que los aficionados cometieron un error clave al codificar la clave privada de su monedero Bitcoin en el paquete de ransomware más grande que desplegaron. Cometieron otro error, dice, cuando alquilaron un servidor en Estados Unidos gestionado por un proveedor de la nube llamado Digital Ocean.
Los delincuentes del ransomware alquilaron ese servidor, dice Smilyanets, para acelerar el proceso de exfiltración de los datos que robaron al operador del oleoducto a otro país. La cantidad de datos es enorme, por lo que el uso de un intermediario como Digital Ocean para almacenar y transmitir temporalmente los datos en el extranjero hace que la operación del ransomware sea más eficiente.
Pero como explicó Smilyanets, parece que los delincuentes también incluyeron la clave privada de su monedero de Bitcoin entre los demás datos que canalizaron a Digital Ocean.
El diseño del sistema de cifrado de Bitcoin hace que sea fácil descifrar la clave pública de un monedero de Bitcoin si se conoce la privada (aunque no al revés). Si el Departamento de Justicia obtuviera tanto la clave pública como la privada, habría sido fácil confiscar el Bitcoin, robando así a los hackers que habían extorsionado al operador del oleoducto.
Smilyanets dice que todo esto apunta a una operación descuidada por parte de los hackers, que sospecha que son jóvenes que, ebrios por el éxito de su plan de extorsión, se demoraron en cerrar el servidor y trasladar el Bitcoin a un lugar seguro.
Ransomware Deshabilita la Base de Datos de Votantes Usada en Elecciones de 2020 en EEUU
La base de datos del gobierno del condado de Georgia que se está utilizando para las elecciones de 2020 ha sido paralizada por un ataque de ransomware. Con la base de datos de firmas de votantes desactivada, los funcionarios del condado de Hall han tenido que depender de una base de datos estatal y de comprobaciones manuales para lidiar con los votos en ausencia. Según la CNN, es el "primer caso conocido de un ataque de ransomware que afecta a la infraestructura electoral en las elecciones de 20...
Mientras tanto, Smilyanets dice que la gravedad del ataque a la tubería provocó una respuesta inusualmente rápida y eficiente por parte del Departamento de Justicia y otros.
"Implicó una rápida cooperación entre las fuerzas de seguridad y las empresas privadas de inteligencia de amenazas y datos", dijo.
Todo esto sugiere que los autores del ransomware fueron descuidados, pero también que tuvieron mala suerte al llevar a cabo la travesura del oleoducto en un momento de nuevas contramedidas por parte de las fuerzas de seguridad de Estados Unidos, contramedidas que incluyen la creación de un nuevo grupo de trabajo sobre ransomware y extorsión digital.,
Hay otras teorías, por supuesto, sobre cómo las fuerzas del orden estadounidenses recuperaron la mayor parte de los Bitcoins pagados por Colonial Pipeline. Una posibilidad, apuntada por el Times, es que los federales hayan colocado un espía humano dentro de la red de DarkSide y hayan pirateado sus ordenadores, pero esto parece poco probable dado que DarkSide siguió recibiendo su parte del 15% y que el espía no avisó a Colonial Pipeline en primer lugar.
Hackers De Colonial Pipeline DarkSide Se Apropiaron Más De $90 Millones En Bitcoin
El Ransomware ha vuelto a ser un tema importante en las noticias últimamente tras el ataque a la empresa estadounidense de oleoductos Colonial Pipeline, cuya red fue cerrada por hackers. Al parecer, la empresa pagó a DarkSide, descrito por el gobierno estadounidense como un grupo de hackers de "ransomware como servicio" (RaaS), cerca de 5 millones de dólares en criptomonedas para desbloquear su red. Sin embargo, eso puede haber sido una gota de agua en el botín de ransomware de DarkSide hasta la...
Mientras tanto, algunos sugirieron que el gobierno de EE.UU. se había apoderado del rescate rompiendo la encriptación de Bitcoin, una sugerencia que es claramente errónea, pero que, no obstante, provocó el desplome del precio de Bitcoin. Desde entonces se ha recuperado.
Por ahora, la teoría de Smilyanets -que los piratas informáticos del oleoducto eran aficionados que se descuidaron al dejar una clave privada donde podía encontrarse en un servidor estadounidense- es la más sólida. Y la teoría más sólida suele ser la correcta.
