EE.UU. incauta US$ 2,3 millones del pago de ransomware a los atacantes de Colonial Pipeline



El Departamento de Justicia de EE.UU. anunció esta semana que ha incautado 63,7 bitcoins valorados actualmente en aproximadamente US$2,3 millones. Estos fondos representarían las ganancias de un pago de rescate el 8 de mayo a personas de un grupo conocido como DarkSide, que había atacado Colonial Pipeline, lo que provocó que la infraestructura crítica fuera puesta fuera de servicio. La orden de incautación fue autorizada hoy por la jueza de EE.UU. para el Norte de California Laurel Beeler.

El 7 de mayo, Colonial Pipeline fue víctima de un ataque de ransomware muy publicitado que provocó que la empresa dejara de operar partes de su infraestructura. Colonial Pipeline informó al FBI que una organización llamada DarkSide accedió a su red informática y que había recibido y pagado una demanda de rescate por aproximadamente 75 bitcoins.

Como se alega en la declaración jurada de respaldo, al revisar el libro mayor público de Bitcoin, las agencias de ley pudieron rastrear múltiples transferencias de bitcoin e identificar que aproximadamente 63.7 bitcoins, representando el pago del rescate, se habían transferido a una dirección específica, para lo cual el FBI tiene la «clave privada», o el equivalente aproximado de una contraseña necesaria para acceder a los activos accesibles desde la dirección de Bitcoin específica. Estos bitcoins representan ganancias rastreables a una intrusión informática y propiedad involucrada en el lavado de dinero y puede ser incautado de conformidad con los estatutos de decomiso penal y civil de EE.UU.



“Seguir el dinero sigue siendo una de las herramientas más básicas pero poderosas que tenemos”, dijo la Fiscal General Adjunta Lisa O. Monaco del Departamento de Justicia de los Estados Unidos. “Los pagos de rescate son el combustible que impulsa el motor de extorsión digital, y el anuncio de hoy demuestra que Estados Unidos utilizará todas las herramientas disponibles para hacer que estos ataques sean más costosos y menos rentables para las empresas delictivas. Continuaremos apuntando a todo el ecosistema de ransomware para interrumpir y disuadir estos ataques. Los anuncios de hoy también demuestran el valor de la notificación temprana para las fuerzas del orden; Agradecemos a Colonial Pipeline por notificar rápidamente al FBI cuando se enteraron de que fueron atacados por DarkSide».

El caso de DarkSide es un ejemplo de «ransomware como servicio» (RaaS). En este modelo operativo, el malware lo crea el desarrollador del ransomware, mientras que cómplices del ataque de ransomware son responsables de infectar el sistema informático que es blanco del ataque y de negociar el pago del rescate con la organización víctima. Este nuevo modelo de negocio ha revolucionado el ransomware, abriéndolo a aquellos que no tienen la capacidad técnica para crear malware, pero están dispuestos y son capaces de infiltrarse en una organización objetivo. Los pagos de rescate se dividen entre el afiliado y el desarrollador.

Parece ser que la mayor parte de la participación del cómplice en este rescate (63,7 BTC) ha sido incautada por las autoridades estadounidenses. Mediante el análisis de blockchain, se ha podido rastrear la participación del afiliado en la transacción de rescate de Colonial hasta la dirección de Bitcoin mencionada en la declaración jurada de incautación.

Descargar el Memorando Firmado Ransomware y Extorsión Digital

Descargar la Declaración Jurada de Darkside

“No hay lugar que no esté al alcance del FBI para ocultar fondos ilícitos”, dijo el subdirector del FBI Paul Abbate. «Continuaremos utilizando todos nuestros recursos disponibles y aprovecharemos nuestras asociaciones nacionales e internacionales para interrumpir los ataques de ransomware y proteger a nuestros socios del sector privado y al público estadounidense».

“Los ciberdelincuentes están empleando esquemas cada vez más elaborados para convertir la tecnología en herramientas de extorsión digital”, dijo la Fiscal Federal Interina para el Distrito Norte de California, Stephanie Hinds. “Necesitamos continuar mejorando la resiliencia cibernética de nuestra infraestructura crítica en todo el país, incluso en el Distrito Norte de California. También continuaremos desarrollando métodos avanzados para mejorar nuestra capacidad de rastrear y recuperar pagos de rescate digitales».

La Sección de Enjuiciamientos Especiales y la Unidad de Confiscación de Activos de la Oficina del Fiscal Federal para el Distrito Norte de California está manejando la incautación, con asistencia significativa de la Sección de Lavado de Dinero y Recuperación de Activos de la División Criminal del Departamento de Justicia y la Sección de Delitos Informáticos y Propiedad Intelectual, y la Sección de Contrainteligencia y Control de Exportaciones de la División de Seguridad Nacional. Los componentes del Departamento que trabajaron en esta incautación coordinaron sus esfuerzos a través del Grupo de trabajo de ransomware y extorsión digital del Departamento, que se creó para combatir el creciente número de ataques de ransomware y extorsión digital.

El Grupo de Trabajo prioriza la interrupción, la investigación y el enjuiciamiento de la actividad de ransomware y extorsión digital mediante el seguimiento y desmantelamiento del desarrollo y la implementación de malware, identificando a los ciberdelincuentes responsables y responsabilizando a esas personas por sus delitos. El Grupo de Trabajo también apunta estratégicamente al ecosistema criminal de ransomware en su conjunto y colabora con agencias gubernamentales nacionales y extranjeras, así como con socios del sector privado para combatir esta importante amenaza criminal.