El Departamento de Justicia de EE. UU. Recupera $2.3M en Bitcoin Pagados a Hackers de Ransomware

El Departamento de Justicia de EE. UU. (DOJ) anunció el lunes que ha confiscado 63.7 Bitcoins actualmente valorados en aproximadamente $2.3 millones que individuos de un grupo criminal de hackers conocido como ‘DarkSide’ habían extorsionado de Colonial Pipeline en un ataque de ransomware el mes pasado.

Para aquellos que no lo saben, una pandilla de hackers que usa la variante de ransomware DarkSide había hackeado el sistema informático de Colonial Pipeline, con sede en Georgia, el 7 de mayo, causando días de escasez de combustible en la costa este de EE. UU., aumento en los precios de la gasolina, compras de pánico y caos en las aerolíneas.

En el momento del hackeo, DarkSide había reconocido el incidente en una declaración pública.

“Nuestro objetivo es hacer dinero y no crear problemas para la sociedad”, escribió DarkSide en su sitio web. “No participamos en geopolítica, no necesitamos atarnos a un gobierno definido y buscamos… nuestros motivos.”

Para resolver el ataque, Colonial Pipeline pagó un rescate de aproximadamente 75 Bitcoins, por un valor de más de $4 millones, el 8 de mayo para reanudar el acceso a sus sistemas informáticos. También informó rápidamente el asunto al Buró Federal de Investigaciones (FBI).

El FBI pudo rastrear múltiples transferencias de Bitcoin revisando el libro mayor público de Bitcoin e identificó que aproximadamente 63.7 Bitcoins, que representan los ingresos del pago de rescate de la víctima, habían sido transferidos a una billetera de criptomonedas en Rusia.

La agencia supuestamente pudo acceder a la “clave privada” —el equivalente aproximado de una contraseña o llave física— de una de las billeteras de Bitcoin de la pandilla de hackers donde recibieron el pago de Colonial.

“Usando la autoridad de la ley, se confiscaron los fondos de la víctima de esa billetera, impidiendo que los actores de DarkSide los usaran”, dijo el Subdirector del FBI, Paul Abbate, en la conferencia de prensa.

El FBI se negó a decir con precisión cómo accedió a la billetera de Bitcoin ni compartió información sobre cómo obtuvo acceso a la clave privada.

“Hoy hemos dado la vuelta a la situación a DarkSide”, dijo la Fiscal General Adjunta Lisa Monaco del DOJ de EE. UU. durante una conferencia de prensa, añadiendo que el dinero fue confiscado mediante una orden judicial.

Ella describió la operación liderada por el FBI como una victoria y una representación de los plenos poderes del Departamento de Justicia.

“Seguir el dinero sigue siendo una de las herramientas más básicas, pero poderosas que tenemos. Los pagos de rescate son el combustible que impulsa el motor de la extorsión digital, y el anuncio de hoy demuestra que Estados Unidos utilizará todas las herramientas disponibles para hacer que estos ataques sean más costosos y menos rentables para las empresas criminales”, añadió Monaco.

“Continuaremos apuntando a todo el ecosistema de ransomware para interrumpir y disuadir estos ataques. Los anuncios de hoy también demuestran el valor de la notificación temprana a las fuerzas del orden; agradecemos a Colonial Pipeline por notificar rápidamente al FBI cuando se enteraron de que estaban siendo atacados por DarkSide.”

“No hay lugar más allá del alcance del FBI para ocultar fondos ilícitos que nos impidan imponer riesgos y consecuencias a los actores cibernéticos maliciosos”, dijo Abbate.

“Continuaremos utilizando todos nuestros recursos disponibles y aprovechando nuestras asociaciones nacionales e internacionales para interrumpir los ataques de ransomware y proteger a nuestros socios del sector privado y al público estadounidense”, añadió.

La orden de confiscación fue autorizada a través de la Oficina del Fiscal de EE. UU. para el Distrito Norte de California.

Joseph Blount, Director Ejecutivo de Colonial Pipeline Company, agradeció al FBI por su “rápido trabajo y profesionalismo” y por ayudar a la empresa a recuperar el rescate.

“Responsabilizar a los cibercriminales y interrumpir el ecosistema que les permite operar es la mejor manera de disuadir y defenderse contra futuros ataques”, dijo Blount en un comunicado.