Il Dipartimento di Giustizia degli Stati Uniti recupera 2,3 milioni di dollari in Bitcoin pagati ai hacker di ransomware

Il Dipartimento di Giustizia degli Stati Uniti (DOJ) ha annunciato lunedì di aver sequestrato 63,7 Bitcoin attualmente valutati circa 2,3 milioni di dollari che individui di un gruppo di hacker criminali noto come ‘DarkSide’ avevano estorto a Colonial Pipeline in un attacco ransomware lo scorso mese.

Per chi non lo sapesse, una banda di hacker che utilizza la variante di ransomware DarkSide ha violato il sistema informatico della Colonial Pipeline con sede in Georgia il 7 maggio, causando giorni di carenze di carburante lungo la costa orientale degli Stati Uniti, un aumento dei prezzi della benzina, acquisti di panico e caos nelle compagnie aeree.

Al momento dell’attacco, DarkSide aveva riconosciuto l’incidente in una dichiarazione pubblica.

“Il nostro obiettivo è fare soldi e non creare problemi per la società”, ha scritto DarkSide sul suo sito web. “Non partecipiamo alla geopolitica, non abbiamo bisogno di legarci a un governo definito e cerchiamo… i nostri motivi.”

Per risolvere l’attacco, Colonial Pipeline ha pagato una richiesta di riscatto di circa 75 Bitcoin del valore di oltre 4 milioni di dollari l’8 maggio per riprendere l’accesso ai suoi sistemi informatici. Ha anche rapidamente segnalato la questione all’FBI.

L’FBI è stata in grado di tracciare più trasferimenti di Bitcoin esaminando il libro mastro pubblico di Bitcoin e ha identificato che circa 63,7 Bitcoin, che rappresentano i proventi del pagamento del riscatto della vittima, erano stati trasferiti a un portafoglio di criptovalute in Russia.

L’agenzia sarebbe stata in grado di accedere alla “chiave privata” — l’equivalente approssimativo di una password o di una chiave fisica — per uno dei portafogli Bitcoin della banda di hacker dove hanno ricevuto il pagamento da Colonial.

“Utilizzando l’autorità delle forze dell’ordine, i fondi della vittima sono stati sequestrati da quel portafoglio, impedendo agli attori di DarkSide di utilizzarli”, ha dichiarato il vicedirettore dell’FBI Paul Abbate durante il briefing.

L’FBI ha rifiutato di dire precisamente come ha avuto accesso al portafoglio Bitcoin né ha condiviso alcuna informazione su come ha ottenuto l’accesso alla chiave privata.

“Oggi abbiamo rovesciato la situazione su DarkSide”, ha dichiarato durante un briefing stampa il vice procuratore generale Lisa Monaco per il DOJ degli Stati Uniti, aggiungendo che il denaro è stato sequestrato tramite un’ordinanza del tribunale.

Ha descritto l’operazione guidata dall’FBI come una vittoria e una rappresentazione dei pieni poteri del Dipartimento di Giustizia.

“Seguire il denaro rimane uno degli strumenti più basilari, ma potenti che abbiamo. I pagamenti di riscatto sono il carburante che alimenta il motore dell’estorsione digitale, e l’annuncio di oggi dimostra che gli Stati Uniti utilizzeranno tutti gli strumenti disponibili per rendere questi attacchi più costosi e meno redditizi per le imprese criminali”, ha aggiunto Monaco.

“Continueremo a mirare all’intero ecosistema del ransomware per interrompere e dissuadere questi attacchi. Gli annunci di oggi dimostrano anche il valore della notifica tempestiva alle forze dell’ordine; ringraziamo Colonial Pipeline per aver avvisato rapidamente l’FBI quando hanno appreso di essere stati presi di mira da DarkSide.”

“Non c’è posto oltre la portata dell’FBI per nascondere fondi illeciti che ci impediranno di imporre rischi e conseguenze agli attori informatici malintenzionati”, ha affermato Abbate.

“Continueremo a utilizzare tutte le nostre risorse disponibili e a sfruttare le nostre partnership nazionali e internazionali per interrompere gli attacchi ransomware e proteggere i nostri partner del settore privato e il pubblico americano”, ha aggiunto.

Il mandato di sequestro è stato autorizzato tramite l’Ufficio del Procuratore degli Stati Uniti per il Distretto Settentrionale della California.

Joseph Blount, Amministratore Delegato della Colonial Pipeline Company, ha ringraziato l’FBI per il suo “lavoro rapido e professionale” e per aver aiutato l’azienda a recuperare il riscatto.

“Rendere i criminali informatici responsabili e interrompere l’ecosistema che consente loro di operare è il modo migliore per dissuadere e difendersi contro attacchi futuri”, ha dichiarato Blount in una nota.