Kolonial Pipeline Ransomware Recovery
Den 7 juni 2021, USA: s justitieministerium meddelade att de hade beslagtagit 63.69 BTC av 75 BTC-lösen som Colonial Pipeline hade betalat till DarkSide. Denna lösenåterställning är den första som gjordes av den nyligen skapade DOJ Ransomware och Digital Extortion Task Force.
Medan FBI kunde återhämta sig cirka 85% av BitcoinBitcoin är en digital valuta (även kallad kryptovaluta) ... Snarare betalas till DarkSide, står det bara för ungefär hälften av den USD-motsvarighet som ursprungligen betalades på grund av ett prisfall på bitcoin sedan lösenbetalningen. De återstående 11.3 BTC förblev i en annan DarkSide eller DarkSide affiliate-kontrollerad adress, som visas i bilden nedan. Baserat på en analys av flöden av medel och DarkSides verksamhet som en Ransomware-as-a-Service (RaaS) -modell kunde de outnyttjade medlen innehas av DarkSide-operatörer medan de beslag som gjordes var de som innehades av RaaS-medlemsförbunden som genomförde hacket . Det är vanligt att ransomware-operatörer tar en nedskärning på 15-30% av lösen, så att RaaS-dotterbolagen (de som utför attacken) lämnar resten.
Darkside-operatörerna konsoliderade återstoden av Colonial Pipeline-fonderna med flera andra lösenbetalningar, inklusive med det globala kemiska distributionsföretaget Brenntag, som hade attackerats bara några dagar tidigare. Denna konsolidering av 107.8 BTC av DarkSide-medel har ännu inte gripits av DOJ och har legat i vila sedan den 13 maj.
Enligt DarkSide beslagsgarantianvände Cyber Crimes Squad från FBI: s San Francisco Field Division blockchain-analys för att bestämma flödet för återbetalning av Colonial Pipeline. I denna order meddelade FBI också att de var i besittning av den privata nyckeln för kryptovaluta-adressen kopplad till 63.7 BTC direkt spårbar till lösenbetalningen Colonial Pipeline. Dessa privata nycklar erhölls troligen som ett resultat av att DarkSide-servrar nyligen beslagtagits den 13 maj, som rapporteras av meddelanden som skickas till dotterbolag av DarkSide RaaS-operationen.
Beslag av kryptovalutaEn kryptovaluta (eller kryptovaluta) är en digital tillgång des ... Snarare genom direkt, fysisk tillgång till plånboken är inte vanligt. För att kunna utnyttja krypto måste brottsbekämpning ha tillgång till den privata nyckeln eller ha tillgång till en person som kan komma åt den privata nyckeln. Det är därför som mest krypto beslagtagits antingen via ett utbyte, eftersom utbyten innehar de privata nycklarna, eller efter en arrestering av en person som har en plånbok på sig eller bland deras tillhörigheter.
Colonial Pipeline Ransomware Attack
Den 7 maj 2021 attackerade den ryssbaserade cyberbrottsgruppen DarkSide Colonial Pipeline — en del av den kritiska infrastrukturbranschen i USA. Som en del av ransomware krypterade DarkSide-aktörer enheter i nätverket och stal okrypterade filer och hotade att släppa dem till allmänheten om företaget inte betalade. Enligt blockchainEn blockkedja - tekniken bakom bitcoin och andra ... Snarare analys, nästa dag betalade Colonial Pipeline 75 BTC-lösensumman, värt mer än 4.2 miljoner dollar vid den tiden. Efter attacken utfärdade Vita huset en verkställande order om att förbättra USA: s cybersäkerhet mot ”ihållande och alltmer sofistikerade skadliga cyberkampanjer som hotar den offentliga sektorn, den privata sektorn och i slutändan det amerikanska folkets säkerhet och integritet.”
Brenntag Ransomware Attack
Fyra dagar efter Colonial Pipeline-attacken drabbades det globala kemikaliedistributionsföretaget Brenntag av en ransomware-attack som riktade sig mot deras Nordamerika-division. Den 11 maj betalade företaget 78.5 BTC, värt ungefär 4.4 miljoner dollar då, till ransomware-operatörerna. I likhet med Colonial Pipeline-attacken, som en del av denna attack, krypterade DarkSide-aktörer enheter i nätverket och stal okrypterade filer. Men till skillnad från Colonial Pipeline har Brenntag-medel ännu inte återvunnits.
Vad är Ransomware-as-a-Service?
DarkSide är en Ransomware-as-a-Service (RaaS) operation. I RaaS-driftsmodeller samarbetar skadliga programutvecklare med tredje part, eller hackare, som är ansvariga för att få tillgång till ett nätverk, kryptera enheter och förhandla om lösenbetalningen med offret. Som ett resultat av denna relativt nya modell kan ransomware nu enkelt användas av dåliga aktörer som saknar teknisk förmåga att själva skapa skadlig programvara men som mer än vill och kan infiltrera ett mål.
Ransom-betalning delas sedan mellan dotterbolaget och operatören (utvecklaren). Denna uppdelning mellan ransomware-operatörer och det dotterbolag som orsakade infektionen är ofta ett tydligt tecken på Ransomware-as-a-Service-modeller. I de flesta RaaS-modeller är denna uppdelning mellan 15-30% till operatören och 70-85% till dotterbolaget.
Bekämpa Ransomware - Vad är nästa?
Den snabba tillväxten av ransomware-as-a-service-verksamhet som NetWalker och Darkside har blivit en lukrativ affär för hotaktörer. Dessa senaste attacker mot kritisk infrastruktur bevisar att ransomware inte bara påverkar individer. Det är därför den 3 juni rättsväsendet släppte ett memorandum för alla federala åklagare tillkännagivande åklagare måste nu rapportera ransomware-incidenter på samma sätt som vi rapporterar kritiska hot mot vår nationella säkerhet. För att motverka ransomware på ett adekvat sätt är informationsdelning nyckeln. I mitten av juni tillkännagav RaaS-operatören REvil att den hade uppdaterat sin etos och deras förväntade beteende för övervägande när de valde ransomware-offer, som att anse att skolor och sjukhus är begränsade för attacker. Denna uppdaterade metodik var sannolikt ett försök att sänka REvil-profilen för att inte bli ett prioriterat mål för US DOJ.
Blockchain-analys ger kritisk kryptovalutainformation som behövs för att spåra ransomware-aktörer. Endast genom att arbeta tillsammans genom grupper som Ransomware Task Force kan kryptovalutainformationsföretag motverka dessa transnationella hotaktörer. Det är viktigt att inte bara spåra ransomware för att hitta och stoppa operatörerna utan också att härda system och utbilda allmänheten om hur dessa kompromisser inträffar för att mildra störningar på rätt sätt. Incident Response Firms har stora databaser med lösenbetalningar från sina kunder. identifiering och spårning av dessa medel kan hjälpa till att skapa en fullständig profil för ransomwaregruppen.
Eftersom ransomware-aktörer använder offentliga blockkedjor för att ta emot betalningar kan alla transaktioner ses i kedjan, vilket gör det möjligt för brottsbekämpning (eller någon annan) att spåra flöden av medel. Att använda ett blockchain-analysverktyg som CipherTrace Inspector ger ännu mer information till spårningen och utredningen, till exempel att identifiera när medlen har deponerats i en börs. När fonderna når ett centraliserat utbyte kan brottsbekämpning stoppa förflyttningen av medel genom att begära att utbytet fryser kontot, och om användarna måste genomgå en KYC-process kan det vara möjligt att identifiera individen bakom adressen.
- 11
- 7
- tillgång
- Konto
- Annat
- Dotterbolag
- Alla
- Alla transaktioner
- amerika
- amerikan
- analys
- analytics
- meddelade
- runt
- arrestera
- tillgång
- Bitcoin
- blockchain
- BTC
- Byggnad
- företag
- Kampanjer
- orsakas
- kemisk
- CipherTrace
- Gemensam
- företag
- konsolidering
- brott
- crypto
- kryptovaluta
- Valuta
- cyber
- cyberbrottslighet
- Cybersäkerhet
- databaser
- dag
- justitiedepartementet
- Utvecklare
- utvecklare
- enheter
- digital
- Digital tillgång
- digital valuta
- Störningar
- DoJ
- Livssyn
- utbyta
- Utbyten
- verkställande
- verkställande order
- utpressning
- FBI
- Federal
- Förnamn
- flöda
- Francisco
- Frys
- full
- fonder
- Välgörenhet
- Grupp
- Tillväxt
- hacka
- hackare
- hålla
- sjukhus
- Huset
- Hur ser din drömresa ut
- HTTPS
- identifiera
- Inverkan
- Inklusive
- informationen
- Infrastruktur
- Intelligens
- Undersökningen
- IT
- Rättvisa
- Justitiedepartementet
- Nyckel
- nycklar
- KYC
- Lag
- brottsbekämpning
- malware
- miljon
- modell
- nationell säkerhet
- nät
- Nord
- nordamerika
- Verksamhet
- beställa
- Övriga
- partnern
- Betala
- betalning
- betalningar
- besittning
- pris
- privatpolicy
- privat
- privat nyckel
- Privata nycklar
- Profil
- allmän
- Ransom
- Ransomware
- Ransomware Attack
- Recover
- återvinning
- rapport
- respons
- Revil
- San
- San Francisco
- Skolor
- säkerhet
- Gripa
- grep
- So
- delas
- Stater
- stola
- System
- Målet
- arbetsgrupp
- Teknisk
- Teknologi
- hotaktörer
- hot
- tid
- Spårning
- Transaktioner
- United
- USA
- us
- USD
- användare
- plånbok
- VITA HUSET
- VEM
- värt