Colonial Pipeline Ransomware Recovery
Den 7. juni 2021, det amerikanske justitsministerium annoncerede at de havde beslaglagt 63.69 BTC af de 75 BTC løsesum Colonial Pipeline havde betalt til DarkSide. Denne inddrivelse af løsesum er den første, der udføres af den nyligt oprettede DOJ Ransomware and Digital Extortion Task Force.
Mens FBI var i stand til at inddrive omkring 85% af BitcoinBitcoin er en digital valuta (også kaldet kryptovaluta) … Mere betalt til DarkSide, udgør dette kun omkring halvdelen af den USD-ækvivalent, der oprindeligt blev betalt på grund af et fald i prisen på bitcoin siden løsesumsbetalingen. De resterende 11.3 BTC forblev i en anden DarkSide eller DarkSide affiliate kontrolleret adresse, afbildet i grafikken nedenfor. Baseret på en analyse af pengestrømmen og DarkSides drift som en Ransomware-as-a-Service (RaaS)-model, kunne de ubeslaglagte midler opbevares af DarkSide-operatører, mens de beslaglagte midler var dem, der var i besiddelse af RaaS-tilknyttede selskaber, der udførte hacket . Det er almindelig praksis for ransomware-operatører at tage en 15-30% nedskæring af løsesummen, hvilket efterlader RaaS-tilknyttede selskaber (dem, der udfører angrebet) med resten.
Darkside-operatørerne konsoliderede resten af Colonial Pipeline-midlerne med adskillige andre løsepengebetalinger, herunder med den fra det globale kemikaliedistributionsselskab Brenntag, som var blevet angrebet få dage tidligere. Denne konsolidering af 107.8 BTC af DarkSide-midler blev endnu ikke beslaglagt af DOJ og har været i dvale siden den 13. maj.
Ifølge DarkSide beslaglæggelseskendelse, brugte Cyber Crimes Squad fra FBI's San Francisco Field Division blockchain-analyse til at bestemme strømmen af løsepengebetalinger fra Colonial Pipeline. I denne kendelse meddelte FBI også, at de var i besiddelse af den private nøgle til cryptocurrency-adressen, der er knyttet til 63.7 BTC, der er direkte sporbar til Colonial Pipeline løsesum. Disse private nøgler blev sandsynligvis opnået som et resultat af den nylige beslaglæggelse af DarkSide-servere på eller omkring den 13. maj, som rapporteret af beskeder sendt til tilknyttede selskaber af DarkSide RaaS-operationen.
Beslaglæggelsen af cryptocurrencyEn kryptovaluta (eller kryptovaluta) er et digitalt aktiv, der... Mere ved direkte, fysisk adgang til tegnebogen er ikke almindelig. For at beslaglægge krypto skal retshåndhævende myndigheder have adgang til den private nøgle eller have adgang til en person, der kan få adgang til den private nøgle. Dette er grunden til, at det meste krypto beslaglægges enten via en børs, da børser har de private nøgler, eller efter en anholdelse af en person, der har en tegnebog på sig eller blandt deres ejendele.
Colonial Pipeline Ransomware-angreb
Den 7. maj 2021 angreb den russisk-baserede cyberkriminalitetsgruppe DarkSide Colonial Pipeline – en del af den kritiske infrastruktursektor i USA. Som en del af ransomwaren krypterede DarkSide-aktører enheder på netværket og stjal ukrypterede filer og truede med at frigive dem til offentligheden, hvis virksomheden undlod at betale. Ifølge blockchainEn blockchain - teknologien bag bitcoin og andre c... Mere analyse, den næste dag betalte Colonial Pipeline løsesummen på 75 BTC, til en værdi af mere end $4.2 millioner på det tidspunkt. Efter angrebet udstedte Det Hvide Hus en bekendtgørelse om at forbedre USA's cybersikkerhed mod "vedvarende og stadig mere sofistikerede ondsindede cyberkampagner, der truer den offentlige sektor, den private sektor og i sidste ende det amerikanske folks sikkerhed og privatliv."
Brenntag Ransomware-angreb
Fire dage efter Colonial Pipeline-angrebet blev den globale kemikaliedistributionsvirksomhed Brenntag ramt af et ransomware-angreb, der var rettet mod deres Nordamerika-afdeling. Den 11. maj betalte virksomheden 78.5 BTC, til en værdi af omkring $4.4 millioner på det tidspunkt, til ransomware-operatørerne. I lighed med Colonial Pipeline-angrebet, som en del af dette angreb, krypterede DarkSide-aktører enheder på netværket og stjal ukrypterede filer. Men i modsætning til Colonial Pipeline er Brenntag-midler endnu ikke blevet inddrevet.
Hvad er Ransomware-as-a-Service?
DarkSide er en Ransomware-as-a-Service (RaaS) operation. I RaaS-driftsmodeller samarbejder malware-udviklerne med tredjeparts associerede selskaber eller hackere, som er ansvarlige for at få adgang til et netværk, kryptere enheder og forhandle løsesumsbetalingen med offeret. Som et resultat af denne relativt nye model kan ransomware nu nemt bruges af dårlige aktører, der mangler den tekniske evne til selv at skabe malwaren, men som er mere end villige og i stand til at infiltrere et mål.
Løsepengebetaling deles derefter mellem affiliate og operatør (udvikler). Denne opdeling mellem ransomware-operatører og den affiliate, der forårsagede infektionen, er ofte et tydeligt tegn på Ransomware-as-a-Service-modeller. I de fleste RaaS-modeller er denne fordeling mellem 15-30% til operatøren og 70-85% til affiliate.
Bekæmpelse af ransomware – hvad er det næste?
Den hurtige vækst af ransomware-as-a-service operationer som NetWalker og Darkside er blevet en lukrativ forretning for trusselsaktører. Disse seneste angreb mod kritisk infrastruktur beviser, at ransomware ikke kun påvirker enkeltpersoner. Det er derfor den 3. juni Justitsministeriet udgivet et memorandum for alle føderale anklagere bebudende anklagere skal nu rapportere ransomware-hændelser på samme måde, som vi rapporterer kritiske trusler mod vores nationale sikkerhed. For at imødegå ransomware tilstrækkeligt er informationsdeling nøglen. I midten af juni meddelte RaaS-operatøren REvil, at den havde opdateret sin etos og deres forventede adfærd til overvejelse ved valg af ransomware-ofre, såsom at anse skoler og hospitaler for forbudte for angreb. Denne opdaterede metode var højst sandsynligt et forsøg på at sænke REvil-profilen for ikke at blive et prioriteret mål for US DOJ.
Blockchain-analyse leverer kritisk cryptocurrency-intelligens, der er nødvendig for at spore ransomware-aktører. Kun ved at arbejde sammen gennem grupper som Ransomware Task Force kan cryptocurrency-efterretningsfirmaer imødegå disse transnationale trusselsaktører. Det er afgørende ikke kun at spore indtægter fra ransomware for at finde og stoppe operatørerne, men også at hærde systemer og oplyse offentligheden om, hvordan disse kompromiser opstår for korrekt at afbøde forstyrrelser. Incident Response Firmaer har enorme databaser over løsesumsbetalinger fra deres kunder; identifikation og sporing af disse midler kan hjælpe med at opbygge en fuld profil af ransomware-gruppen.
Fordi ransomware-aktører bruger offentlige blockchains til at modtage betalinger, kan alle transaktioner ses på kæden, hvilket gør det muligt for retshåndhævelse (eller hvem som helst) at spore pengestrømmen. Brug af et blockchain-analyseværktøj som CipherTrace Inspector giver endnu yderligere intelligens til sporingen og undersøgelsen, såsom at identificere, hvornår midlerne er blevet deponeret i en børs. Når midlerne når en centraliseret børs, kan retshåndhævende myndigheder stoppe bevægelsen af midler ved at anmode om, at børsen fryser kontoen, og hvis brugerne skulle gennemgå en KYC-proces, kunne det være muligt at identificere personen bag adressen.
- 11
- 7
- adgang
- Konto
- Yderligere
- Affiliate
- Alle
- Alle transaktioner
- amerika
- amerikansk
- analyse
- analytics
- annoncerede
- omkring
- arrestere
- aktiv
- Bitcoin
- blockchain
- BTC
- Bygning
- virksomhed
- Kampagner
- forårsagede
- kemikalie
- CipherTrace
- Fælles
- selskab
- konsolidering
- forbrydelser
- krypto
- cryptocurrency
- Valuta
- Cyber
- cyberkriminalitet
- Cybersecurity
- databaser
- dag
- justitsministeriet
- Udvikler
- udviklere
- Enheder
- digital
- Digital aktiver
- digital valuta
- Forstyrrelse
- DoJ
- Ethos
- udveksling
- Udvekslinger
- udøvende
- udøvende ordre
- afpresning
- FBI
- Federal
- Fornavn
- flow
- Francisco
- Frys
- fuld
- fonde
- Global
- gruppe
- Vækst
- hack
- hackere
- hold
- sygehuse
- hus
- Hvordan
- HTTPS
- identificere
- KIMOs Succeshistorier
- Herunder
- oplysninger
- Infrastruktur
- Intelligens
- undersøgelse
- IT
- Retfærdighed
- Justitsministeriet
- Nøgle
- nøgler
- KYC
- Lov
- retshåndhævelse
- malware
- million
- model
- national sikkerhed
- netværk
- Nord
- nordamerika
- Produktion
- ordrer
- Andet
- partner
- Betal
- betaling
- betalinger
- besiddelse
- pris
- Beskyttelse af personlige oplysninger
- private
- private nøgle
- Private nøgler
- Profil
- offentlige
- Ransom
- ransomware
- Ransomware angreb
- Recover
- opsving
- indberette
- svar
- ondskab
- San
- San Francisco
- Skoler
- sikkerhed
- Gribe
- beslaglagt
- So
- delt
- Stater
- Stole
- Systemer
- mål
- task force
- Teknisk
- Teknologier
- trusselsaktører
- trusler
- tid
- Sporing
- Transaktioner
- Forenet
- Forenede Stater
- us
- USD
- brugere
- tegnebog
- Hvide Hus
- WHO
- værd