Como os federais conseguiram o Bitcoin dos Hackers de Pipeline? Aqui está a melhor teoria

O Departamento de Justiça dos EUA obteve uma rara vitória contra criminosos de ransomware esta semana, recuperação a maior parte do Bitcoin os bandidos extorquido após um ataque de alto nível ao Colonial Pipeline.

à medida que o New York Times recontado, a vitória dos federais contra os hackers mostra como o Bitcoin pode ser rastreado em seu público blockchain rede – um fato bem conhecido por aqueles versados ​​em criptografia, mas nem tanto pelo público em geral. Mas o que vezes e outros não explicaram é apenas como o Departamento de Justiça colocou as mãos no Bitcoin em primeiro lugar.

O mistério é especialmente intrigante porque o ataque da gangue de ransomware foi sofisticado o suficiente para paralisar o fornecimento de energia da costa leste. Se a gangue pudesse puxar que fora, como eles poderiam ser tão burros a ponto de colocar o resgate do Bitcoin em um digital wallet que estava ao alcance das autoridades policiais dos EUA?

Num típico ataque de ransomware, as vítimas não conseguem recuperar o Bitcoin porque os perpetradores e a sua carteira estão localizados no estrangeiro. Claro, é possível rastrear os pagamentos na blockchain pública. Mas os bandidos geralmente misturam os Bitcoins nos chamados misturadores – serviços que misturam os Bitcoins com outros fundos ou os convertem em outras criptomoedas – e os dispersam em outras carteiras, tornando os fundos praticamente impossíveis de serem apreendidos. Então, o que aconteceu com o resgate do Colonial Pipeline?

Dmitry Smileyanets tem uma ideia muito boa. Analista de inteligência de ameaças da empresa de segurança cibernética Record Future, Smilyanets é especialista em ransomware e criptomoeda e disse Descifrar ele acredita que os bandidos do oleoduto são meros amadores que administraram uma operação de franquia sob os verdadeiros mentores.

A evidência que ele afirma é que o Departamento de Justiça recuperou apenas 63.7 dos 75 Bitcoins pagos no resgate. Os 11.3 Bitcoins perdidos equivalem a 15% do resgate – um valor que é a comissão usual para usar o ransomware, que é feito por um grupo obscuro chamado DarkSide. O grupo aluga suas ferramentas para outros hackers que as usaram para extorquir mais de US $ 90 milhões no total.

O resultado é que a parte não recuperada do resgate do pipeline foi para uma carteira controlada pelo DarkSide, na qual o Departamento de Justiça não conseguiu colocar as mãos. Isso, é claro, não explica como os federais – que dizer eles “não querem desistir do nosso ofício” – aproveitaram o resto.

A resposta, diz Smilyanets, é que os amadores cometeram um erro grave ao codificar a chave privada de sua carteira Bitcoin no pacote maior de ransomware que implantaram. Eles cometeram outro erro, diz ele, quando alugaram um servidor nos Estados Unidos administrado por um provedor de nuvem chamado Digital Ocean.

Os criminosos de ransomware alugaram esse servidor, diz Smilyanets, para acelerar o processo de exfiltração dos dados que roubaram do operador do gasoduto para outro país. A quantidade de dados é vasta, portanto, usar um intermediário como a Digital Ocean para armazenar e retransmitir temporariamente os dados no exterior torna a operação do ransomware mais eficiente.

Mas, como explicou Smilyanets, parece que os criminosos também incluíram a chave privada de sua carteira Bitcoin em meio a outros dados que canalizaram para a Digital Ocean.

O design do sistema de criptografia do Bitcoin facilita a decifração da chave pública de uma carteira Bitcoin se você conhecer a chave privada (embora não vice-versa). Se o Departamento de Justiça obtivesse as chaves pública e privada, teria sido fácil apreender o Bitcoin – efetivamente roubando os hackers que extorquiram o operador do oleoduto.

Smilyanets diz que tudo isso aponta para uma operação desleixada dos hackers, que ele suspeita serem jovens que, bêbados com o sucesso de seu plano de extorsão, arrastaram os pés para fechar o servidor e mover o Bitcoin para um local seguro.

Entretanto, Smilyanets afirma que a gravidade do ataque ao oleoduto desencadeou uma resposta invulgarmente rápida e eficiente por parte do Departamento de Justiça e outros.

“Envolveu uma cooperação rápida entre as autoridades policiais e as empresas privadas de inteligência e dados sobre ameaças”, disse ele.

Tudo isso sugere que os perpetradores do ransomware foram desleixados, mas também tiveram azar de realizar o golpe em um momento de novas contramedidas por parte das autoridades policiais dos EUA – contramedidas que incluem a criação de uma nova Força-Tarefa de Ransomware e Extorsão Digital.

Existem outras teorias, é claro, sobre como as autoridades dos EUA recuperaram a maior parte dos Bitcoins pagos pela Colonial Pipeline. Uma possibilidade, sugerida pelo vezes, é que os federais plantaram um espião humano dentro da rede DarkSide e hackearam seus computadores – mas isso parece improvável, dado que o DarkSide ainda recebeu sua redução de 15% e que o espião não avisou a Colonial Pipeline em primeiro lugar. Enquanto isso, alguns sugeriram que o governo dos EUA havia confiscado o resgate ao quebrar a criptografia do Bitcoin – uma sugestão que é claramente errada, mas que, mesmo assim, causou a queda do preço do Bitcoin. Desde então recuperado.

Por enquanto, a teoria de Smilyanets – de que os hackers do pipeline eram amadores que foram desleixados ao deixar uma chave privada onde ela poderia ser encontrada em um servidor dos EUA – é a mais forte. E a teoria mais forte geralmente é a correta.

Fonte: https://decrypt.co/73290/how-did-the-feds-get-the-pipeline-hackers-bitcoin-heres-the-best-theory