Washington – El gobierno federal ha recuperado millones de dólares en criptomonedas pagados en rescate a los ciberdelincuentes, cuyo ataque provocó el cierre del gasoducto más grande del país y la escasez de gas en el sureste de Estados Unidos el mes pasado, anunció el lunes el Departamento de Justicia.
El 8 de mayo, Colonial Pipeline pagó un rescate por valor de unos 4,3 millones de dólares en bitcoins al grupo de piratas informáticos con sede en Rusia conocido como DarkSide, que utilizó software malicioso para mantener a la empresa como rehén. El director ejecutivo de Colonial Pipeline, Joseph Blount, dijo a The Wall Street Journal que la compañía pagó el costoso rescate porque temía un cierre prolongado y no sabía cuánto tiempo llevaría restablecer las operaciones.
El rescate permitió a Colonial restaurar el transporte de combustible a través de su oleoducto, que se extiende desde Texas hasta el noreste y suministra el 45% de todo el combustible consumido en la costa este.
Los funcionarios del Departamento de Justicia dijeron que el FBI pudo rastrear y recuperar 63.7 bitcoins, actualmente valorados en alrededor de $ 2.3 millones. La operación marca una recuperación de rescate poco común para la empresa de infraestructura crítica que fue víctima de un ciberataque devastador cuando explotó el modelo de negocio de «ransomware-as-a-service». Marca el primer cambio de rumbo del nuevo Grupo de trabajo sobre ransomware del departamento.
«Esta mañana, el Departamento de Justicia encontró y recuperó la mayor parte del rescate colonial pagado a la red DarkSide», dijo la procuradora general Lisa Monaco durante una conferencia de prensa el lunes. «Usar la tecnología para mantener empresas, e incluso ciudades enteras, como rehenes de las ganancias es decididamente un desafío del siglo XXI, pero el viejo adagio ‘sigue el dinero’ todavía se aplica».
Los funcionarios del Departamento de Justicia dijeron que los investigadores rastrearon los bitcoins en el libro mayor público de la criptomoneda e identificaron la cuenta de moneda virtual conocida como «billetera» utilizada por DarkSide para cobrar el pago. El FBI obtuvo la «clave» privada de la billetera, lo que permitió a los agentes confiscar los fondos de conformidad con una orden judicial de un juez federal en el Distrito Norte de California.
«Hoy, el FBI ha incautado con éxito el producto del crimen de una billetera Bitcoin que los actores del ransomware DarkSide usaron para cobrar el pago del rescate cibernético de una víctima», dijo el subdirector del FBI Paul Abbate. «Desde el año pasado, hemos estado investigando DarkSide, un grupo de delitos informáticos con sede en Rusia. La variante de ransomware DarkSide es una de las más de 100 variantes de ransomware que el FBI está investigando actualmente».
Departamento de Justicia para «mejorar» las investigaciones de ransomware 01:42
La semana pasada, el director del FBI, Christopher Wray, comparó la amenaza del ransomware con los ataques terroristas del 11 de septiembre. El Departamento de Justicia también emitió un memorando a los fiscales federales elevando las investigaciones de ransomware al mismo nivel de prioridad que las investigaciones de terrorismo.
Durante el ataque colonial, los piratas informáticos amenazaron con divulgar públicamente los datos de la empresa, lo que llevó a la empresa a cesar sus operaciones. El paro ha provocado escasez de combustible en más de una docena de estados, lo que ha hecho subir los precios de la gasolina y amenaza con interrumpir los viajes aéreos.
«Cuando Colonial fue atacado el 7 de mayo, nos comunicamos en silencio y rápidamente con las oficinas locales del FBI en Atlanta y San Francisco, y con los fiscales en el norte de California y Washington DC para compartir con ellos lo que sabíamos en ese momento», dijo Blount, el director ejecutivo en un declaración posterior al anuncio del lunes. «El Departamento de Justicia y el FBI fueron fundamentales para ayudarnos a comprender al actor de la amenaza y sus tácticas. Sus esfuerzos para responsabilizar a estos criminales y llevarlos ante la justicia son encomiables».
Se espera que Blount comparezca ante los legisladores en Capitol Hill el martes y miércoles en su primera audiencia pública desde el ataque.
La semana pasada, los ciberdelincuentes rusos conocidos como «Revil» emplearon ransomware en un plan de extorsión contra JBS, el procesador de carne más grande del mundo. El ataque obligó a la empresa con sede en Brasil a cerrar las operaciones de matanza de ganado en 13 de sus plantas procesadoras de carne en Estados Unidos, amenazando el suministro de alimentos de Estados Unidos.
El reciente ataque a los esquemas de extorsión cibernética ha llevado a reuniones de emergencia en la Casa Blanca mientras las empresas estadounidenses reconsideran la protección contra las amenazas cibernéticas.
«La acción del Departamento de Justicia para recuperar los pagos de rescate de los transportistas que interrumpieron la infraestructura crítica de Estados Unidos es un avance positivo», dijo John Hultquist, vicepresidente de análisis de Mandiant Threat Intelligence, en un comunicado a CBS News.
“Ha quedado claro que necesitamos utilizar varias herramientas para detener la marea de este grave problema e incluso las agencias de aplicación de la ley deben extender su enfoque más allá de la construcción de casos contra delincuentes que pueden estar fuera del alcance de la ley”, agregó Hultquist. «Además de los beneficios inmediatos de este enfoque, un mayor enfoque en la disrupción puede desalentar este comportamiento, que está creciendo en un círculo vicioso».
El mes pasado, la administración Biden dijo que las empresas de oleoductos deben informar los incidentes cibernéticos a las autoridades federales. La directiva requería que los propietarios y operadores de oleoductos designaran «un coordinador de ciberseguridad 24 horas al día, 7 días a la semana» para coordinar con la Administración de Seguridad del Transporte y la Agencia de Seguridad de Infraestructura y Seguridad Cibernética en caso de un incidente cibernético, pero no resolvió otros problemas críticos de los sectores de infraestructura. .
La secretaria de Energía, Jennifer Granholm, dijo en una entrevista el domingo que apoya una ley que prohíbe a las empresas pagar rescates a los piratas informáticos en el ciberespacio. Los legisladores expresaron su disposición a considerar la medida. Pero según Chris Painter, copresidente del Grupo de trabajo contra ransomware, es probable que esta prohibición de pagar solicitudes de rescate deba implementarse gradualmente.
Andy Triay contribuyó a este informe.