Pemulihan Ransomware Pipa Kolonial
Pada 7 Juni 2021, Departemen Kehakiman AS mengumumkan bahwa mereka telah menyita 63.69 BTC dari 75 BTC tebusan Colonial Pipeline yang telah dibayarkan ke DarkSide. Pemulihan tebusan ini adalah yang pertama dilakukan oleh DOJ Ransomware dan Satuan Tugas Pemerasan Digital yang baru saja dibuat.
Sementara FBI mampu memulihkan sekitar 85% dari bitcoinBitcoin adalah mata uang digital (juga disebut mata uang kripto)… More dibayarkan ke DarkSide, ini hanya menyumbang sekitar setengah dari setara USD yang awalnya dibayarkan karena jatuhnya harga bitcoin sejak pembayaran tebusan. 11.3 BTC yang tersisa tetap berada di alamat yang dikendalikan afiliasi DarkSide atau DarkSide yang berbeda, yang digambarkan dalam grafik di bawah ini. Berdasarkan analisis aliran dana dan operasi DarkSide sebagai model Ransomware-as-a-Service (RaaS), dana yang tidak disita dapat dipegang oleh operator DarkSide sedangkan dana yang disita adalah yang dipegang oleh afiliasi RaaS yang melakukan peretasan. . Ini adalah praktik umum bagi operator ransomware untuk mengambil potongan tebusan 15-30%, meninggalkan afiliasi RaaS (mereka yang melakukan serangan) dengan sisanya.
Operator Darkside mengkonsolidasikan sisa dana Colonial Pipeline dengan beberapa pembayaran tebusan lainnya, termasuk dengan perusahaan distribusi bahan kimia global Brenntag, yang telah diserang hanya beberapa hari sebelumnya. Konsolidasi 107.8 BTC dana DarkSide ini belum disita oleh DOJ, dan telah tidak aktif sejak 13 Mei.
Menurut Surat Perintah Penyitaan Sisi Gelap, Pasukan Kejahatan Siber dari Divisi Lapangan San Francisco FBI menggunakan analisis blockchain untuk menentukan aliran dana pembayaran tebusan Colonial Pipeline. Dalam surat perintah ini, FBI juga mengumumkan bahwa mereka memiliki kunci pribadi untuk alamat cryptocurrency yang terkait dengan 63.7 BTC yang dapat dilacak langsung ke pembayaran tebusan Colonial Pipeline. Kunci pribadi ini kemungkinan diperoleh sebagai hasil dari penyitaan server DarkSide baru-baru ini pada atau sekitar 13 Mei, sebagai dilaporkan oleh pesan yang dikirim ke afiliasi dari operasi DarkSide RaaS.
Penyitaan cryptocurrencyCryptocurrency (atau mata uang kripto) adalah aset digital des ... More secara langsung, akses fisik ke dompet tidak umum. Untuk merebut kripto, penegak hukum harus memiliki akses ke kunci pribadi, atau memiliki akses ke individu yang dapat mengakses kunci pribadi. Inilah sebabnya mengapa sebagian besar crypto disita baik melalui pertukaran, karena pertukaran memegang kunci pribadi, atau setelah penangkapan seseorang yang memiliki dompet di dalamnya atau di antara barang-barang mereka.
Serangan Ransomware Pipa Kolonial
Pada 7 Mei 2021, kelompok kejahatan dunia maya yang berbasis di Rusia, DarkSide, menyerang Colonial Pipeline—bagian dari sektor infrastruktur penting Amerika Serikat. Sebagai bagian dari ransomware, aktor DarkSide mengenkripsi perangkat di jaringan dan mencuri file tidak terenkripsi, mengancam akan merilisnya ke publik jika perusahaan gagal membayar. Berdasarkan blockchainSebuah rantai blok — teknologi yang mendasari bitcoin dan ... More analisis, hari berikutnya Colonial Pipeline membayar tebusan 75 BTC, senilai lebih dari $4.2 juta pada saat itu. Setelah serangan itu, Gedung Putih mengeluarkan perintah eksekutif untuk meningkatkan keamanan siber AS terhadap “kampanye siber jahat yang terus-menerus dan semakin canggih yang mengancam sektor publik, sektor swasta, dan akhirnya keamanan dan privasi rakyat Amerika.”
Serangan Ransomware Brenntag
Empat hari setelah serangan Colonial Pipeline, perusahaan distribusi bahan kimia global Brenntag mengalami serangan ransomware yang menargetkan divisi Amerika Utara mereka. Pada 11 Mei, perusahaan membayar 78.5 BTC, senilai sekitar $4.4 juta pada saat itu, kepada operator ransomware. Mirip dengan serangan Colonial Pipeline, sebagai bagian dari serangan ini, aktor DarkSide mengenkripsi perangkat di jaringan dan mencuri file yang tidak terenkripsi. Namun, tidak seperti Colonial Pipeline, dana Brenntag belum dikembalikan.
Apa itu Ransomware-as-a-Service?
DarkSide adalah operasi Ransomware-as-a-Service (RaaS). Dalam model operasi RaaS, pengembang malware bermitra dengan afiliasi pihak ketiga, atau peretas, yang bertanggung jawab untuk mendapatkan akses ke jaringan, mengenkripsi perangkat, dan menegosiasikan pembayaran tebusan dengan korban. Sebagai hasil dari model yang relatif baru ini, ransomware sekarang dapat dengan mudah digunakan oleh pelaku jahat yang tidak memiliki kemampuan teknis untuk membuat malware itu sendiri tetapi lebih dari bersedia dan mampu menyusup ke target.
Pembayaran tebusan kemudian dibagi antara afiliasi dan operator (pengembang). Perpecahan antara operator ransomware dan afiliasi yang menyebabkan infeksi ini, sering kali merupakan tanda model Ransomware-as-a-Service. Di sebagian besar model RaaS, pembagian ini antara 15-30% untuk operator dan 70-85% untuk afiliasi.
Memerangi Ransomware—Apa Selanjutnya?
Pertumbuhan pesat operasi ransomware-as-a-service seperti NetWalker dan Darkside telah menjadi bisnis yang menguntungkan bagi pelaku ancaman. Serangan baru-baru ini terhadap infrastruktur penting membuktikan bahwa ransomware tidak hanya berdampak pada individu. Inilah sebabnya mengapa pada tanggal 3 Juni Departemen Kehakiman merilis Memorandum untuk Semua Penuntut Federal mengumumkan jaksa sekarang harus melaporkan insiden ransomware dengan cara yang sama seperti kami melaporkan ancaman kritis terhadap keamanan nasional kami. Untuk melawan ransomware secara memadai, berbagi informasi adalah kuncinya. Pada pertengahan Juni, operator RaaS REvil mengumumkan telah memperbarui etos dan perilaku yang diharapkan untuk dipertimbangkan dalam memilih korban ransomware, seperti menganggap sekolah dan rumah sakit terlarang untuk diserang. Metodologi yang diperbarui ini kemungkinan besar merupakan upaya untuk menurunkan profil REvil agar tidak menjadi target prioritas DOJ AS.
Analisis Blockchain memberikan kecerdasan cryptocurrency penting yang diperlukan untuk melacak pelaku ransomware. Hanya dengan bekerja sama melalui kelompok-kelompok seperti Ransomware Task Force, perusahaan intelijen cryptocurrency dapat melawan aktor ancaman transnasional ini. Sangat penting untuk tidak hanya melacak hasil ransomware untuk menemukan dan menghentikan operator, tetapi juga untuk memperkuat sistem dan mendidik publik tentang bagaimana kompromi ini terjadi untuk mengurangi gangguan dengan benar. Incident Response Firms memiliki database besar pembayaran tebusan dari klien mereka; mengidentifikasi dan melacak dana ini dapat membantu membangun profil lengkap grup ransomware.
Karena pelaku ransomware menggunakan blockchain publik untuk menerima pembayaran, semua transaksi dapat dilihat di rantai, memungkinkan penegak hukum (atau siapa pun) untuk melacak aliran dana. Memanfaatkan alat analitik blockchain seperti CipherTrace Inspector bahkan memberikan kecerdasan tambahan untuk pelacakan dan penyelidikan, seperti mengidentifikasi kapan dana telah disetorkan ke bursa. Setelah dana mencapai pertukaran terpusat, penegak hukum dapat menghentikan pergerakan dana dengan meminta pertukaran membekukan akun dan, jika pengguna harus menjalani proses KYC, dimungkinkan untuk mengidentifikasi individu di balik alamat tersebut.
- 11
- 7
- mengakses
- Akun
- Tambahan
- Bergabung
- Semua
- Semua Transaksi
- Amerika
- Amerika
- analisis
- analisis
- mengumumkan
- sekitar
- menangkap
- aset
- Bitcoin
- blockchain
- BTC
- Bangunan
- bisnis
- Kampanye
- disebabkan
- kimia
- CipherTrace
- Umum
- perusahaan
- konsolidasi
- Kejahatan
- kripto
- cryptocurrency
- Currency
- maya
- cybercrime
- Keamanan cyber
- database
- hari
- depkeh
- Pengembang
- pengembang
- Devices
- digital
- Aset Digital
- mata uang digital
- Gangguan
- DoJ
- Jiwa khas suatu bangsa
- Pasar Valas
- Bursa
- eksekutif
- perintah eksekutif
- pemerasan
- fbi
- Federal
- Pertama
- aliran
- Francisco
- Membekukan
- penuh
- dana-dana
- Aksi
- Kelompok
- Pertumbuhan
- terjangan
- hacker
- memegang
- rumah sakit
- Rumah
- Seterpercayaapakah Olymp Trade? Kesimpulan
- HTTPS
- mengenali
- Dampak
- Termasuk
- informasi
- Infrastruktur
- Intelijen
- investigasi
- IT
- Keadilan
- pengadilan
- kunci
- kunci-kunci
- KYC
- Hukum
- penegakan hukum
- malware
- juta
- model
- keamanan nasional
- jaringan
- utara
- Amerika Utara
- Operasi
- urutan
- Lainnya
- pasangan
- Membayar
- pembayaran
- pembayaran
- milik
- harga pompa cor beton mini
- pribadi
- swasta
- Key pribadi
- Kunci Pribadi
- Profil
- publik
- Tebusan
- ransomware
- Serangan Ransomware
- Memulihkan
- pemulihan
- melaporkan
- tanggapan
- kejahatan
- San
- San Fransisco
- Sekolah
- keamanan
- Merebut
- disita
- So
- membagi
- Negara
- mencuri
- sistem
- target
- gugus tugas
- Teknis
- Teknologi
- aktor ancaman
- ancaman
- waktu
- Pelacakan
- Transaksi
- Serikat
- Amerika Serikat
- us
- USD
- Pengguna
- dompet
- Gedung Putih
- SIAPA
- bernilai