Os Estados Unidos apreendem parte do resgate de hackers em ataque a oleoduto colonial

WASHINGTON – O Departamento de Justiça disse na segunda-feira que apreendeu grande parte do resgate que uma grande operadora de oleoduto dos EUA pagou no mês passado a um coletivo de hackers russo, devolvendo a mesa aos hackers acessando uma carteira digital para recuperar milhões de dólares em criptomoedas.

Pesquisadores nas últimas semanas rastrearam 75 Bitcoins no valor de mais de US $ 4 milhões que Pipeline colonial havia pago hackers quando o ataque desligou seus sistemas de computador, levando à escassez de combustível, um aumento dos preços da gasolina e caos nas companhias aéreas.

Investigadores federais rastrearam o resgate enquanto ele se movia por um labirinto de pelo menos 23 contas eletrônicas diferentes pertencentes ao DarkSide, o grupo de hackers, antes de pousar em uma que um juiz federal permitiu que eles entrassem, de acordo com funcionários encarregados de fazer. Cumprir a lei. e documentos do tribunal.

O Departamento de Justiça disse que apreendeu 63,7 Bitcoins, avaliados em cerca de US $ 2,3 milhões. (O valor de um Bitcoin caiu no último mês.)

“O uso sofisticado de tecnologia para manter empresas e até cidades inteiras como reféns para lucro é decididamente um desafio do século 21, mas o velho ditado ‘siga o dinheiro’ ainda se aplica”, disse Lisa O. Monaco, a promotora. na coletiva de imprensa do Departamento de Justiça.

Policiais destacaram a apreensão em um esforço para alertar os cibercriminosos de que os Estados Unidos planejavam direcionar seus ganhos, que muitas vezes são obtidos por meio de criptomoedas como o Bitcoin. Também se destinava a encorajar as vítimas de ataques de ransomware, que ocorrem a cada oito minutos, em média, para notificar as autoridades para ajudar a recuperar os resgates.

Durante anos, as vítimas optaram por pagar discretamente aos cibercriminosos, calculando que o pagamento seria mais barato do que reconstruir dados e serviços. Embora o F.B.I. pagamentos de resgate são desencorajados, legais e até dedutíveis de impostos. Mas os pagamentos, que juntos totalizam bilhões de dólares, financiaram e encorajaram grupos de ransomware.

Funcionários do Departamento de Justiça disseram que a disposição do Colonial de dar uma volta rápida no F.B.I. Eles ajudaram a recuperar a parcela do resgate e creditaram a empresa por seu papel em um esforço único de uma nova força-tarefa de ransomware no departamento para sequestrar os rendimentos de um grupo de cibercrime.

“Devemos continuar a levar a sério as ameaças cibernéticas e investir adequadamente para fortalecer nossas defesas”, disse o CEO da Colonial Joseph Blount em um comunicado. Blount disse que depois que sua empresa contatou o F.B.I. e o Departamento de Justiça para notificá-los do ataque, os investigadores ajudaram a Colonial a entender os hackers e suas táticas.

O anúncio do Departamento de Justiça também veio antes da reunião agendada do presidente Biden com o presidente da Rússia, Vladimir V. Putin, na próxima semana em Genebra, onde Biden deve abordar o que as autoridades americanas consideram a vontade do Kremlin de fornecer proteção contra hackers. A Rússia normalmente não prende ou extradita suspeitos em ataques de ransomware.

O New York Times noticiou No mês passado, o pagamento do resgate da Colonial Pipeline vazou da carteira Bitcoin do DarkSide, embora não estivesse claro quem havia orquestrado a mudança.

Na segunda-feira, o governo preencheu algumas lacunas. DarkSide opera fornecendo ransomware aos afiliados. Em troca, o DarkSide recebe uma parte dos seus lucros.

As autoridades disseram que identificaram uma conta em moeda virtual, frequentemente chamada de carteira, que o DarkSide estava usando para receber o pagamento de uma vítima de ransomware, identificada em documentos judiciais apenas como Vítima X, mas cujos detalhes de hackeamento correspondem aos de Colonial. As autoridades disseram que um juiz do Distrito Norte da Califórnia aprovou uma ordem na segunda-feira para apreender os fundos da carteira.

O F.B.I. comenzó a investigar DarkSide el año pasado e identificó a más de 90 víctimas en múltiples sectores de la economía, incluida la manufactura, el derecho, los seguros, la atención médica y la energía, dijo Paul M. Abbate, subdirector del FBI, en la conferência de imprensa.

O DarkSide apareceu pela primeira vez em agosto e acredita-se que tenha começado como afiliado de outro grupo de hackers russo, chamado REvil, antes de abrir sua própria operação no ano passado.

Semanas depois do DarkSide colonial atacado, REvil usou ransomware para tentar extorquir JBS, um dos maiores processadores de carne do mundo. O ataque forçou a empresa a fechar nove fábricas de carne bovina nos Estados Unidos, interrompeu fábricas de aves e suínos e teve efeitos significativos em supermercados e restaurantes, que tiveram que cobrar mais ou eliminar produtos de carne de seus cardápios.

Nas últimas semanas, o ransomware também paralisou o hospital que atende Villages na Flórida, a maior comunidade de aposentados dos Estados Unidos; Canais de televisão; N.B.A. e times de beisebol da liga secundária; e até balsas para Nantucket e Martha’s Vineyard em Massachusetts.

Os episódios aumentaram as vulnerabilidades digitais para a consciência nacional. Funcionários da Casa Branca disseram na semana passada que estão trabalhando para resolver problemas com criptomoeda, que permite ataques de ransomware há anos.

Na semana passada, Christopher A. Wray, o F.B.I. diretor, comparou a ameaça de ataques de ransomware para o desafio do terrorismo global nos dias após os ataques de 11 de setembro de 2001.

“Há muitos paralelos, há muita importância e nos concentramos muito na interrupção e na prevenção”, disse ele. “Há uma responsabilidade compartilhada, não apenas entre agências governamentais, mas também entre o setor privado e até mesmo o americano médio.”

Wray acrescentou que o F.B.I. estava pesquisando 100 variantes de software usadas em ataques de ransomware, o que mostra a escala do problema.

Embora as autoridades americanas tenham tido o cuidado de não vincular diretamente os ataques de ransomware à Rússia, Biden, Wray e outros disseram que o país protege os cibercriminosos.

Em muitos casos, a Rússia os trata como ativos nacionais. Em 2014 Padrão do YahooPor exemplo, os oficiais de inteligência russos trabalharam em estreita colaboração com os cibercriminosos, permitindo-lhes lucrar com dados roubados, ao mesmo tempo que os orientava a passar contas de e-mail para o F.S.B., a agência sucessora do K.G.B.

Putin comparou os hackers a “artistas que acordam de bom humor e começam a pintar”. A realidade, dizem as autoridades americanas, é que eles dão a Putin e aos serviços de inteligência russos uma camada plausível de negação.

Não apenas Biden deve abordar o assunto com Putin, mas o Departamento de Estado também está em negociações com outras duas dúzias de países sobre maneiras de pressionar mutuamente a Rússia para combater o crime cibernético.

“Se o governo russo quiser mostrar que leva a sério essa questão, há muito espaço para eles mostrarem um progresso real que não estamos vendo”, disse Wray na semana passada.

Anne Neuberger, Conselheira Assistente de Segurança Nacional para Tecnologias Cibernéticas e Emergentes, avisou empresas americanas Na semana passada, o ransomware deu uma guinada sombria, sinalizando uma mudança recente “do roubo de dados para a interrupção das operações”.

Os hackers atacaram diretamente os sistemas de cobrança da Colonial. Com os congelados, os executivos descobriram que não tinham como cobrar dos clientes e fechar as operações preventivamente. PARA avaliação governamental confidencial determinou que se o gasoduto tivesse ficado fechado por mais dois dias, o ataque poderia ter derrubado as refinarias de produtos químicos e de transporte de massa, que dependem da Colonial para transportar diesel.

A Casa Branca realizou reuniões de emergência para lidar com o ataque. A administração Biden anunciou que exigiria que as empresas de dutos relatar ataques cibernéticos significativos e que o governo criaria centros de emergência 24 horas para lidar com hackers sérios.

Os especialistas em segurança cibernética saudaram a decisão do Departamento de Justiça.

“Ficou claro que precisamos usar várias ferramentas para conter a maré” de ransomware, disse John Hultquist, vice-presidente da firma de segurança cibernética FireEye. “Um foco maior na interrupção pode desencorajar esse comportamento, que está crescendo em um ciclo vicioso.”

David E. Sanger contribuiu para o relatório.