Восстановление от программ-вымогателей Colonial Pipeline
7 июня 2021 года Министерство юстиции США объявило что они конфисковали 63.69 BTC из выкупа в размере 75 BTC, который Colonial Pipeline заплатил DarkSide. Это восстановление с помощью выкупа - первое, что предпринимает недавно созданная рабочая группа Министерства юстиции США по программам-вымогателям и цифровому вымогательству.
Хотя ФБР удалось восстановить около 85% BitcoinБиткойн - это цифровая валюта (также называемая криптовалютой) ... Больше выплачивается DarkSide, это составляет только примерно половину эквивалента доллара США, первоначально выплаченного из-за падения цены биткойна после выплаты выкупа. Оставшиеся 11.3 BTC остались на другом адресе, контролируемом партнером DarkSide или DarkSide, как показано на рисунке ниже. На основе анализа движения средств и работы DarkSide в качестве модели Ransomware-as-a-Service (RaaS) неиспользованные средства могли принадлежать операторам DarkSide, в то время как изъятые средства принадлежали аффилированным лицам RaaS, проводившим взлом . Операторы программ-вымогателей обычно получают 15–30% выкупа, оставляя аффилированным лицам RaaS (тем, кто проводит атаку) остальное.
Операторы Darkside объединили остаток средств Colonial Pipeline с множеством других выплат выкупа, в том числе с выплатой глобальной химической дистрибьюторской компании Brenntag, которая подверглась нападению всего несколькими днями ранее. Эта консолидация средств DarkSide в размере 107.8 BTC еще не была арестована Министерством юстиции США и бездействовала с 13 мая.
Согласно Ордер на захват DarkSideОтдел по борьбе с киберпреступлениями полевого отдела ФБР в Сан-Франциско использовал анализ блокчейна для определения потока средств для выплаты выкупа Colonial Pipeline. В этом ордере ФБР также объявило, что у них есть закрытый ключ для адреса криптовалюты, связанный с 63.7 BTC, напрямую связанный с выплатой выкупа Colonial Pipeline. Эти закрытые ключи, вероятно, были получены в результате недавнего захвата серверов DarkSide примерно 13 мая или около того, поскольку сообщается в сообщениях, отправленных партнерам операции DarkSide RaaS.
Захват криптовалютаКриптовалюта (или криптовалюта) - это цифровой актив, предназначенный ... Больше Прямой физический доступ к кошельку встречается нечасто. Чтобы захватить криптовалюту, правоохранительные органы должны иметь доступ к закрытому ключу или иметь доступ к лицу, которое может получить доступ к закрытому ключу. Вот почему большая часть криптовалюты изымается либо через биржу, поскольку биржи хранят закрытые ключи, либо после ареста человека, у которого есть кошелек на них или среди их вещей.
Атака программ-вымогателей Colonial Pipeline
7 мая 2021 года базирующаяся в России киберпреступная группа DarkSide атаковала Colonial Pipeline - часть критически важного инфраструктурного сектора США. В рамках программы-вымогателя субъекты DarkSide зашифровывали устройства в сети и крали незашифрованные файлы, угрожая опубликовать их, если компания не заплатит. В соответствии с блокчейнБлокчейн - технология, лежащая в основе биткойнов и других… Больше Согласно анализу, на следующий день Colonial Pipeline заплатила выкуп в размере 75 BTC, что на тот момент составляло более 4.2 миллиона долларов. После атаки Белый дом издал распоряжение о повышении кибербезопасности США против «постоянных и все более изощренных злонамеренных кибер-кампаний, которые угрожают государственному сектору, частному сектору и, в конечном итоге, безопасности и конфиденциальности американского народа».
Атака программ-вымогателей Brenntag
Через четыре дня после атаки на Colonial Pipeline глобальная химическая компания Brenntag подверглась атаке с использованием программы-вымогателя, нацеленной на их подразделение в Северной Америке. 11 мая компания заплатила операторам программ-вымогателей 78.5 BTC, что на тот момент составляло примерно 4.4 миллиона долларов. Подобно атаке Colonial Pipeline, в рамках этой атаки участники DarkSide зашифровали устройства в сети и похитили незашифрованные файлы. Однако, в отличие от Colonial Pipeline, средства Brenntag еще не возвращены.
Что такое программа-вымогатель как услуга?
DarkSide - это программа-вымогатель как услуга (RaaS). В моделях работы RaaS разработчики вредоносных программ сотрудничают со сторонними аффилированными лицами или хакерами, которые несут ответственность за получение доступа к сети, шифрование устройств и согласование выкупа с жертвой. В результате этой относительно новой модели программы-вымогатели теперь могут легко использоваться злоумышленниками, у которых нет технических возможностей для создания вредоносного ПО, но которые более чем готовы и способны проникнуть в цель.
Затем выплаты выкупа делятся между партнером и оператором (разработчиком). Это разделение между операторами программ-вымогателей и аффилированным лицом, вызвавшим заражение, часто является явным признаком моделей использования программ-вымогателей как услуги. В большинстве моделей RaaS это разделение составляет 15–30% для оператора и 70–85% для филиала.
Борьба с программами-вымогателями - что дальше?
Быстрый рост таких операций, как NetWalker и Darkside, предлагающих программы-вымогатели, стал прибыльным бизнесом для злоумышленников. Эти недавние атаки на критически важную инфраструктуру доказывают, что программы-вымогатели поражают не только отдельных лиц. Поэтому 3 июня Министерство юстиции выпустила меморандум для всех федеральных прокуроров объявляя, что прокуроры теперь должны сообщать об инцидентах с программами-вымогателями так же, как мы сообщаем о серьезных угрозах нашей национальной безопасности. Обмен информацией имеет ключевое значение для адекватной борьбы с программами-вымогателями. В середине июня оператор RaaS REvil объявил, что обновил свой дух и ожидаемое поведение с учетом выбора жертв программ-вымогателей, например, объявив школы и больницы закрытыми для атак. Эта обновленная методология, скорее всего, была попыткой снизить профиль REvil, чтобы не стать приоритетной целью для Министерства юстиции США.
Блокчейн-аналитика обеспечивает критически важную информацию о криптовалютах, необходимую для отслеживания участников программ-вымогателей. Только работая вместе с такими группами, как Целевая группа по программам-вымогателям, фирмы, занимающиеся разведкой криптовалют, могут противостоять этим транснациональным субъектам угроз. Крайне важно не только отслеживать действия программ-вымогателей, чтобы находить и останавливать операторов, но также укреплять системы и информировать общественность о том, как происходят эти взломы, чтобы должным образом уменьшить нарушения. Фирмы по реагированию на инциденты имеют обширные базы данных о выплатах выкупа от своих клиентов; Выявление и отслеживание этих средств может помочь в построении полного профиля группы программ-вымогателей.
Поскольку злоумышленники-вымогатели используют общедоступные блокчейны для приема платежей, все транзакции можно просматривать в цепочке, что позволяет правоохранительным органам (или кому угодно) отслеживать потоки средств. Использование аналитического инструмента блокчейн, такого как CipherTrace Inspector, обеспечивает даже дополнительную информацию для отслеживания и расследования, например, определение того, когда средства были внесены на биржу. Как только средства поступят на централизованную биржу, правоохранительные органы могут остановить движение средств, потребовав, чтобы биржа заморозила учетную запись, и, если пользователи должны были пройти процесс KYC, можно было бы идентифицировать человека, стоящего за адресом.
- 11
- 7
- доступ
- Учетная запись
- дополнительный
- Affiliate
- Все
- Все транзакции
- Америка
- американские
- анализ
- аналитика
- объявило
- около
- арестовать
- активы
- Bitcoin
- блокчейн
- BTC
- Строительство
- бизнес
- Кампании
- вызванный
- химический
- CipherTrace
- Общий
- Компания
- консолидация
- преступления
- крипто-
- криптовалюта
- Валюта
- кибер-
- киберпреступности
- Информационная безопасность
- базы данных
- день
- Департамент правосудия
- Застройщик
- застройщиков
- Устройства
- Интернет
- Цифровой актив
- цифровая валюта
- Нарушение
- DoJ
- этос
- обмена
- Биржи
- исполнительный
- распоряжение
- вымогательство
- ФБР
- Федеральный
- First
- поток
- Франциско
- Замораживать
- полный
- средства
- Глобальный
- группы
- Рост
- мотыга
- Хакеры
- держать
- больницы
- Вилла / Бунгало
- Как
- HTTPS
- определения
- Влияние
- В том числе
- информация
- Инфраструктура
- Интеллекта
- ходе расследования,
- IT
- Юстиция
- Отдел юстиции
- Основные
- ключи
- KYC
- закон
- правоохранительной
- вредоносных программ
- миллиона
- модель
- Национальная безопасность
- сеть
- север
- Северная Америка
- Операционный отдел
- заказ
- Другие контрактные услуги
- партнер
- ОПЛАТИТЬ
- оплата
- платежи
- только простое хранение
- цена
- политикой конфиденциальности.
- частная
- Секретный ключ
- Частные ключи
- Профиль
- что такое варган?
- Выкуп
- вымогателей
- Атака вымогателей
- Recover
- выздоровление
- отчету
- ответ
- Revil
- Сан -
- Сан-Франциско
- Вузы
- безопасность
- Воспользоваться
- изъяли
- So
- раскол
- Области
- украли
- системы
- цель
- оперативная группа
- Технический
- Технологии
- актеры угрозы
- угрозы
- время
- Отслеживание
- Сделки
- Объединенный
- США
- us
- USD
- пользователей
- Кошелек
- Белый дом
- КТО
- стоимость