Wie kamen die Feds an den Bitcoin der Pipeline-Hacker? Hier ist die beste Theorie

Das US-Justizministerium hat diese Woche einen seltenen Sieg gegen Ransomware-Kriminelle erzielt. erholt die meisten der Bitcoin die Gauner erpresst nach einem hochkarätigen Angriff auf die Colonial Pipeline.

Da die New York Times erzählt, der Sieg der Bundesbehörden gegen die Hacker zeigt, wie Bitcoin in seiner Öffentlichkeit verfolgt werden kann Blockchain Netzwerk – eine Tatsache, die Krypto-Kennern wohlbekannt ist, der breiten Öffentlichkeit jedoch weniger. Aber was ist das? Schadenkalkulation und andere haben nicht erklärt, wie das Justizministerium den Bitcoin überhaupt in die Hände bekommen hat.

Das Rätsel ist besonders rätselhaft, da der Angriff der Ransomware-Bande raffiniert genug war, um die Energieversorgung der Ostküste lahmzulegen. Wenn die Bande ziehen könnte zur Verbesserung der Gesundheitsgerechtigkeit aus, wie könnten sie so dumm sein, das Bitcoin-Lösegeld in ein digitales zu stecken? Brieftasche die in Reichweite der US-Strafverfolgungsbehörden lag?

Bei einem typischen Ransomware-Angriff können die Opfer die Bitcoin nicht wiederherstellen, da sich die Täter und ihr Portemonnaie im Ausland befinden. Sicher, es ist möglich, die Zahlungen auf der öffentlichen Blockchain zu verfolgen. Aber die Gauner schleudern die Bitcoins normalerweise in sogenannte Mixer – Dienste, die die Bitcoins mit anderen Geldern mischen oder in andere Kryptowährungen umwandeln – und verteilen sie in andere Brieftaschen, wodurch die Gelder fast unmöglich zu beschlagnahmen sind. Was ist also mit dem Lösegeld aus der Colonial Pipeline passiert?

Dmitri Smiljanez hat eine ziemlich gute Idee. Smilyanets ist ein Threat Intelligence-Analyst bei der Cybersicherheitsfirma Record Future und Experte für Ransomware und Kryptowährung Entschlüsseln er glaubt, dass die Pipeline-Gauner bloße Amateure sind, die unter den wahren Drahtziehern ein Franchise-Unternehmen betrieben haben.

Der Beweis, den er sagt, ist, dass das Justizministerium nur 63.7 der 75 Bitcoins, die im Lösegeld bezahlt wurden, zurückerhalten hat. Die fehlenden 11.3 Bitcoins machen 15% des Lösegelds aus – eine Zahl, die die übliche Provision für die Nutzung der Ransomware ist, die von einer zwielichtigen Gruppe namens DarkSide gemacht wird. Die Gruppe vermietet ihre Tools an andere Hacker, die damit erpresst haben mehr als $ 90 Millionen insgesamt.

Das Ergebnis ist, dass der nicht wiederhergestellte Teil des Pipeline-Lösegeldes an eine von DarkSide kontrollierte Brieftasche ging, die das Justizministerium nicht in die Hände bekommen konnte. Das erklärt natürlich nicht, wie die Bundesbehörden – die sagen sie „wollen unser Handwerk nicht aufgeben“ – beschlagnahmten den Rest.

Die Antwort, sagt Smilyanets, ist, dass die Amateure einen entscheidenden Fehler gemacht haben, als sie den privaten Schlüssel ihrer Bitcoin-Wallet hart in das größere Ransomware-Paket kodierten, das sie bereitgestellt hatten. Sie haben einen weiteren Fehler gemacht, sagt er, als sie einen Server in den USA gemietet haben, der von einem Cloud-Anbieter namens Digital Ocean betrieben wird.

Die Ransomware-Gauner haben diesen Server gemietet, sagt Smilyanets, um den Prozess der Exfiltrierung der vom Pipeline-Betreiber gestohlenen Daten in ein anderes Land zu beschleunigen. Die Datenmenge ist enorm, daher wird die Ransomware-Operation effizienter, wenn ein Vermittler wie Digital Ocean zum vorübergehenden Speichern und Weiterleiten der Daten ins Ausland verwendet wird.

Aber wie Smilyanets erklärte, haben die Gauner anscheinend auch den privaten Schlüssel zu ihrer Bitcoin-Geldbörse unter den anderen Daten, die sie an Digital Ocean weitergeleitet haben, hinzugefügt.

Das Design des Verschlüsselungssystems von Bitcoin macht es einfach, den öffentlichen Schlüssel einer Bitcoin-Wallet zu entschlüsseln, wenn Sie den privaten kennen (allerdings nicht umgekehrt). Wenn das Justizministerium sowohl den privaten als auch den öffentlichen Schlüssel erhalten hätte, wäre es leicht gewesen, den Bitcoin zu beschlagnahmen – und die Hacker, die den Pipeline-Betreiber erpresst hatten, effektiv auszurauben.

Smilyanets sagt, all dies deutet auf eine schlampige Operation der Hacker hin, bei denen er vermutet, dass es sich um junge Männer handelt, die, betrunken vom Erfolg ihres Erpressungsplans, den Server schleppten und den Bitcoin an einen sicheren Ort brachten.

Unterdessen sagt Smilyanets, dass die Schwere des Pipeline-Angriffs eine ungewöhnlich schnelle und effiziente Reaktion des Justizministeriums und anderer ausgelöst hat.

„Es ging um eine schnelle Zusammenarbeit zwischen Strafverfolgungsbehörden und privaten Bedrohungsaufklärungs- und Datenunternehmen“, sagte er.

All dies deutet darauf hin, dass die Ransomware-Täter schlampig waren, aber auch das Pech hatten, die Pipeline-Kaper in einer Zeit neuer Gegenmaßnahmen der US-Strafverfolgungsbehörden durchzuziehen – Gegenmaßnahmen, die das Aufstellen einer neuen Ransomware- und Digital Extortion Task Force umfassen.

Es gibt natürlich andere Theorien darüber, wie die US-Strafverfolgungsbehörden die meisten Bitcoins, die von Colonial Pipeline bezahlt wurden, zurückerhalten. Eine Möglichkeit, schwebend von der Schadenkalkulation, ist, dass die Bundesbehörden einen menschlichen Spion in das DarkSide-Netzwerk gepflanzt und seine Computer gehackt haben – aber dies scheint unwahrscheinlich, da DarkSide immer noch seine 15%ige Kürzung erhielt und der Spion Colonial Pipeline gar nicht erst warnte. In der Zwischenzeit schlugen einige vor, dass die US-Regierung das Lösegeld beschlagnahmt hatte, indem sie die Verschlüsselung von Bitcoin knackte – ein Vorschlag, der eindeutig falsch ist, aber dennoch den Preis von Bitcoin zum Absturz brachte. Es hat seit erholt.

Im Moment ist die Theorie von Smilyanets, dass die Pipeline-Hacker Amateure waren, die nachlässig wurden, indem sie einen privaten Schlüssel hinterließen, wo er auf einem US-Server gefunden werden konnte, die stärkste. Und die stärkste Theorie ist normalerweise die richtige.

Quelle: https://decrypt.co/73290/how-did-the-feds-get-the-pipeline-hackers-bitcoin-heres-the-best-theory