¿Cómo obtuvieron los federales el Bitcoin de los piratas informáticos del oleoducto? Aquí está la mejor teoría

El Departamento de Justicia de EE. UU. obtuvo una victoria inusual contra los delincuentes de ransomware esta semana, recuperación la mayor parte de la Bitcoin los ladrones extorsionado después de un ataque de alto perfil en Colonial Pipeline.

A este tenor, New York Times contado, la victoria de los federales contra los piratas informáticos muestra cómo se puede rastrear Bitcoin en su público blockchain red: un hecho bien conocido por aquellos versados ​​en criptografía, pero menos para el público en general. Pero que Equipos y otros no explicaron cómo el Departamento de Justicia puso sus manos en Bitcoin en primer lugar.

El misterio es especialmente desconcertante ya que el ataque de la banda de ransomware fue lo suficientemente sofisticado como para paralizar el suministro de energía de la costa este. Si la pandilla pudiera tirar esa apagado, ¿cómo podrían ser tan tontos como para poner el rescate de Bitcoin en un billeteras que están al alcance de las fuerzas del orden de los EE. UU.?

En un ataque de ransomware típico, las víctimas no pueden recuperar el Bitcoin porque los perpetradores y su billetera se encuentran en el extranjero. Claro, es posible rastrear los pagos en la cadena de bloques pública. Pero los ladrones usualmente mezclan los Bitcoins en los llamados mezcladores —servicios que combinan los Bitcoins con otros fondos o los convierten en otras criptomonedas— y los dispersan en otras billeteras, haciendo que los fondos sean casi imposibles de incautar. Entonces, ¿qué pasó con el rescate de Colonial Pipeline?

Dmitri Smilyanets tiene una idea bastante buena. Smilyanets, analista de inteligencia de amenazas de la firma de ciberseguridad Record Future, es experta en ransomware y criptomonedas, y dijo Descifrar él cree que los ladrones del oleoducto son meros aficionados que dirigieron una operación de franquicia bajo las mentes maestras reales.

La evidencia que dice es que el Departamento de Justicia recuperó solo 63.7 de los 75 Bitcoins pagados en el rescate. Los 11.3 Bitcoins que faltan ascienden al 15% del rescate, una cifra que es la comisión habitual para usar el ransomware, que está hecho por un grupo en la sombra llamado DarkSide. El grupo alquila sus herramientas a otros hackers que las han utilizado para extorsionar más de $ 90 millones en total.

El resultado es que la porción no recuperada del rescate de la tubería fue a una billetera controlada por DarkSide, que el Departamento de Justicia no pudo tener en sus manos. Eso, por supuesto, no explica cómo los federales, que dices ellos “no quieren renunciar a nuestro oficio”, se apoderaron del resto.

La respuesta, dice Smilyanets, es que los aficionados cometieron un error clave al codificar la clave privada de su billetera Bitcoin en el paquete de ransomware más grande que implementaron. Cometieron otro error, dice, cuando alquilaron un servidor en los Estados Unidos administrado por un proveedor de nube llamado Digital Ocean.

Los ladrones de ransomware alquilaron ese servidor, dice Smilyanets, para acelerar el proceso de exfiltración de los datos que robaron del operador de la tubería a otro país. La cantidad de datos es enorme, por lo que el uso de un intermediario como Digital Ocean para almacenar y transmitir temporalmente los datos al extranjero hace que la operación del ransomware sea más eficiente.

Pero como explicó Smilyanets, parece que los delincuentes también incluyeron la clave privada de su billetera Bitcoin entre los otros datos que canalizaron a Digital Ocean.

El diseño del sistema de cifrado de Bitcoin facilita el descifrado de la clave pública de una billetera Bitcoin si conoce la privada (aunque no al revés). Si el Departamento de Justicia obtuvo las claves públicas y privadas, habría sido fácil apoderarse de Bitcoin, robando efectivamente a los piratas informáticos que habían extorsionado al operador del oleoducto.

Smilyanets dice que todo esto apunta a una operación descuidada por parte de los piratas informáticos, que sospecha que son hombres jóvenes que, borrachos del éxito de su plan de extorsión, se demoraron en cerrar el servidor y trasladar el Bitcoin a un lugar seguro.

Mientras tanto, Smilyanets dice que la gravedad del ataque al oleoducto provocó una respuesta inusualmente rápida y eficiente por parte del Departamento de Justicia y otros.

“Implicó una cooperación rápida entre las fuerzas del orden y las empresas privadas de datos e inteligencia de amenazas”, dijo.

Todo esto sugiere que los perpetradores del ransomware fueron descuidados, pero también desafortunados, para llevar a cabo la travesura del oleoducto en un momento de nuevas contramedidas por parte de las fuerzas del orden de los EE. UU.

Existen otras teorías, por supuesto, sobre cómo la policía de EE. UU. Recuperó la mayoría de los Bitcoins pagados por Colonial Pipeline. Una posibilidad, flotada por el Equipos, es que los federales colocaron un espía humano dentro de la red de DarkSide y hackearon sus computadoras, pero esto parece poco probable dado que DarkSide todavía obtuvo su parte del 15% y que el espía no advirtió a Colonial Pipeline en primer lugar. Mientras tanto, algunos sugirieron que el gobierno de los EE. UU. se había apoderado del rescate al romper el cifrado de Bitcoin, una sugerencia que claramente es incorrecta, pero que, sin embargo, provocó la caída del precio de Bitcoin. tiene desde recuperado.

Por ahora, la teoría de Smilyanets —que los piratas informáticos del oleoducto eran aficionados que se descuidaron al dejar una clave privada donde se podía encontrar en un servidor de EE. UU .— es la más sólida. Y la teoría más fuerte suele ser la correcta.

Fuente: https://decrypt.co/73290/how-did-the-feds-get-the-pipeline-hackers-bitcoin-heres-the-best-theory