Відновлення вимагачів колоніального трубопроводу
7 червня 2021 року Міністерство юстиції США оголошений що вони заволоділи 63.69 BTC з викупу 75 BTC, який Colonial Pipeline сплатив DarkSide. Це відновлення викупу вперше здійснено нещодавно створеною Робочою групою вимагачів та цифровим вимаганням DOJ.
Хоча ФБР вдалося відновити близько 85% BitcoinБіткойн - це цифрова валюта (також її називають криптовалютою) ... більше сплачений DarkSide, це становить лише приблизно половину еквівалента в доларах США, спочатку сплаченого через падіння ціни біткойна з моменту викупу. Решта 11.3 BTC залишилися в іншій адресі, керованій філією DarkSide або DarkSide, зображеною на графіку нижче. На підставі аналізу потоку коштів та функціонування DarkSide як моделі RaaS-вимагачів, невикористані кошти могли бути утримувані операторами DarkSide, тоді як вилучені кошти належали філіям RaaS, які провели злом . Звичайна практика, коли оператори-вимагачі вилучають 15-30% викупу, залишаючи філії RaaS (ті, що проводять атаку) з рештою.
Оператори Darkside об'єднали залишок коштів колоніального трубопроводу за допомогою кількох інших викупних платежів, у тому числі з глобальною компанією з дистрибуції хімічних речовин Brenntag, на яку напали лише днями раніше. Ця консолідація 107.8 BTC фондів DarkSide поки що не була вилучена Міністерством юстиції та перебувала у стані спокою з 13 травня.
Згідно зі Ордер на вилучення DarkSide, відділ кіберзлочинів польового підрозділу ФБР у Сан -Франциско використав аналіз блокчейну для визначення потоку коштів від викупних коштів за колоніальний трубопровід. У цьому ордері ФБР також оголосило, що у них є приватний ключ для адреси криптовалюти, пов'язаний із 63.7 BTC, безпосередньо відстежуваним за викупний платіж Colonial Pipeline. Ці приватні ключі, ймовірно, були отримані в результаті нещодавнього захоплення серверів DarkSide 13 травня або близько цього повідомляється повідомленнями, надісланими філіалам операції DarkSide RaaS.
Судом криптовалютаКриптовалюта (або криптовалюта) - це цифровий актив ... більше прямий фізичний доступ до гаманця не є звичайним явищем. Щоб захопити крипто, правоохоронні органи повинні мати доступ до приватного ключа або мати доступ до особи, яка може отримати доступ до приватного ключа. Ось чому більшість криптовалют вилучається або шляхом обміну, оскільки біржі зберігають приватні ключі, або після арешту особи, у якої є гаманець або серед їхніх речей.
Атака вимагачів колоніального трубопроводу
7 травня 2021 року російська група з кіберзлочинності DarkSide напала на колоніальний трубопровід-частину сектору критичної інфраструктури Сполучених Штатів. В рамках програми -вимагача актори DarkSide шифрували пристрої в мережі та викрадали незашифровані файли, погрожуючи випустити їх для публіки, якщо компанія не сплатить. Відповідно до blockchainБлокчейн - технологія, що лежить в основі біткойнів та інших систем… більше Аналіз, наступного дня Colonial Pipeline заплатив викуп 75 BTC, вартістю понад 4.2 млн доларів на той час. Після нападу Білий дім видав розпорядження про покращення кібербезпеки США проти "постійних і все більш складних шкідливих кібер -кампаній, які загрожують державному сектору, приватному сектору і, зрештою, безпеці та конфіденційності американського народу".
Атака вимагачів Brenntag
Через чотири дні після нападу колоніального трубопроводу глобальна компанія з розповсюдження хімічних речовин Brenntag зазнала нападу -вимагача, спрямованого на їх підрозділ у Північній Америці. 11 травня компанія виплатила операторам -вимагачам 78.5 BTC, на той час приблизно 4.4 мільйона доларів. Подібно до атаки Colonial Pipeline, в рамках цієї атаки актори DarkSide шифрували пристрої в мережі та викрадали незашифровані файли. Однак, на відміну від колоніального трубопроводу, кошти Бреннтага ще не відновлені.
Що таке вимагачі як послуга?
DarkSide-це операція-вимагач як послуга (RaaS). У моделях роботи RaaS розробники шкідливих програм співпрацюють із сторонніми філіями або хакерами, які відповідають за отримання доступу до мережі, шифрування пристроїв та узгодження виплати викупу з жертвою. В результаті цієї відносно нової моделі програма -вимагач тепер може бути легко використана поганими акторами, яким бракує технічних можливостей для створення шкідливого ПЗ, але вони більш ніж бажають і здатні проникнути в ціль.
Потім виплата викупу розподіляється між афілійованою особою та оператором (розробником). Цей розкол між операторами-вимагачами та філією, що спричинила зараження, часто є свідченням моделей-вимагачів як послуги. У більшості моделей RaaS цей розподіл становить від 15-30% до оператора та 70-85% до філії.
Боротьба з вимагачем - що далі?
Стрімке зростання операцій-вимагачів як послуги, таких як NetWalker та Darkside, стало прибутковим бізнесом для суб’єктів загроз. Ці останні атаки на критично важливу інфраструктуру доводять, що вимагачі впливають не тільки на окремих людей. Ось чому 3 червня Міністерство юстиції опублікував Меморандум для всіх федеральних прокурорів оголошуючи прокуратуру, тепер вони мають повідомляти про випадки вимагачів так само, як ми повідомляємо про критичні загрози нашій національній безпеці. Для того, щоб належним чином протистояти програм -вимагачів, обмін інформацією є ключовим. В середині червня оператор RaaS REvil оголосив, що оновив свій етос та очікувану поведінку для розгляду при виборі жертв вимагачів, таких як визнання шкіл та лікарень забороненими для атак. Ця оновлена методологія, швидше за все, була спробою зменшити профіль REvil, щоб не стати пріоритетною метою для Міністерства юстиції США.
Аналітика блокчейну надає критично важливий аналіз криптовалют, необхідний для відстеження акторів -вимагачів. Тільки спільними зусиллями через такі групи, як Спеціальна група з вимагачів, можна розвідувальні компанії з криптовалют протистояти цим транснаціональним загрозам. Вкрай важливо не тільки відстежувати надходження програм -вимагачів для пошуку та зупинки операторів, а й зміцнювати системи та інформувати громадськість про те, як відбуваються ці компроміси, щоб належним чином пом'якшити порушення. Фірми з реагування на інциденти мають величезну базу даних про викупних платежів від своїх клієнтів; виявлення та відстеження цих коштів може допомогти у створенні повного профілю групи -вимагачів.
Оскільки суб’єкти вимагачів використовують загальнодоступні блокчейни для отримання платежів, усі транзакції можна переглядати по ланцюжку, що дозволяє правоохоронним органам (або будь -кому) відстежувати потік коштів. Використання аналітичного інструменту блокчейна, такого як CipherTrace Inspector, надає навіть додаткові дані для відстеження та розслідування, такі як визначення того, коли кошти були внесені на біржу. Як тільки кошти надходять до централізованої біржі, правоохоронні органи можуть зупинити рух коштів, попросивши на біржі заморозити рахунок, і, якщо користувачам доведеться пройти процес KYC, можна буде ідентифікувати особу, яка стоїть за адресою.
- 11
- 7
- доступ
- рахунки
- Додатковий
- філія
- ВСІ
- Усі транзакції
- Америка
- американська
- аналіз
- аналітика
- оголошений
- навколо
- заарештувати
- активи
- Біткойн
- blockchain
- БТД
- Створюємо
- бізнес
- Кампанії
- викликаний
- хімічний
- CipherTrace
- загальний
- компанія
- консолідація
- Злочини
- крипто
- криптовалюта
- Валюта
- кібер-
- кіберзлочинності
- Кібербезпека
- базами даних
- день
- управління юстиції
- Розробник
- розробників
- прилади
- цифровий
- Цифровий актив
- цифрова валюта
- Зрив
- ДоЙ
- Етос
- обмін
- Біржі
- виконавчий
- розпорядження
- вимагання
- fbi
- Федеральний
- Перший
- потік
- Франциско
- Заморожувати
- Повний
- засоби
- Глобальний
- Group
- Зростання
- зламати
- хакери
- тримати
- лікарні
- будинок
- Як
- HTTPS
- ідентифікувати
- Impact
- У тому числі
- інформація
- Інфраструктура
- Інтелект
- дослідження
- IT
- юстиція
- Відділ юстиції
- ключ
- ключі
- ЗСК
- закон
- правозастосування
- шкідливих програм
- мільйона
- модель
- національна безпека
- мережу
- На північ
- Північна Америка
- операції
- порядок
- Інше
- партнер
- Платити
- оплата
- платежі
- володіння
- price
- недоторканність приватного життя
- приватний
- Private Key
- Приватні ключі
- профіль
- громадськість
- Викуп
- вимагачів
- Вимагальна програма
- Відновлювати
- відновлення
- звітом
- відповідь
- зло
- Сан -
- Сан Франциско
- Школи
- безпеку
- Захопити
- вилучено
- So
- розкол
- Штати
- вкрав
- Systems
- Мета
- оперативна група
- технічний
- Технологія
- актори загроз
- загрози
- час
- Відстеження
- Transactions
- United
- Сполучені Штати
- us
- USD
- користувачі
- Wallet
- Білий дім
- ВООЗ
- вартість