ВАШИНГТОН. В понедельник Министерство юстиции заявило, что оно конфисковало большую часть выкупа, который в прошлом месяце выплатил крупный оператор трубопровода США российский хакерский коллектив, обращающий внимание на хакеров, используя цифровой кошелек, чтобы вырвать миллионы долларов в криптовалюте.
В последние недели следователи обнаружили 75 биткойнов на сумму более 4 миллионов долларов, которым Colonial Pipeline заплатила во время атаки хакеры отключили его компьютерные системы, что привело к нехватке топлива, скачку цен на бензин и хаосу в авиакомпаниях.
Федеральные следователи отследили выкуп, когда он перемещался по лабиринту, по крайней мере, из 23 различных электронных учетных записей, принадлежащих в DarkSide, хакерской группе, прежде чем попасть в группу, в которую федеральный судья позволил им проникнуть, согласно должностным лицам правоохранительных органов и судебным документам.
Министерство юстиции заявило, что конфисковано 63,7 биткойна на сумму около 2,3 миллиона долларов. (Стоимость биткойнов за последний месяц упала.)
«Изощренное использование технологий для удержания бизнеса и даже целых городов в заложниках с целью получения прибыли определенно является вызов 21-го века, но старая поговорка «следуй за деньгами» все еще актуальна », — заявила заместитель генерального прокурора Лиза О. Монако на пресс-конференции в Министерстве юстиции.
Сотрудники правоохранительных органов подчеркнули, что захват в попытке предупредить киберпреступников о том, что Соединенные Штаты планировали нацелить их на прибыль, которая часто достигается за счет криптовалют, таких как биткойн. Он также был предназначен для поощрения жертв атак программ-вымогателей, которые происходят в среднем каждые восемь минут, — уведомлять власти о помощи в получении выкупа.
В течение многих лет жертвы предпочитали тихо платить киберпреступникам, рассчитывая что оплата будет дешевле, чем восстановление данных и услуг. Хотя ФБР. не поощряет выплаты выкупа, они законны и даже не облагаются налогом. Но выплаты, которые в совокупности составляют миллиарды долларов, финансировали и ободряли группы программ-вымогателей.
Представители Министерства юстиции заявили, что готовность Colonial быстро установить связь с ФБР. помогли вернуть часть выкупа, и они отдали должное компании за ее роль в первой в своем роде попытке новой целевой группы по вымогательству в отделе похитить прибыль киберпреступной группы.
«Мы должны продолжать серьезно относиться к киберугрозам и инвестировать соответствующие средства для усиления нашей защиты », — говорится в заявлении Джозефа Блаунта, исполнительного директора Colonial. Г-н Блаунт сказал, что после того, как его компания связалась с ФБР, и Министерство юстиции, чтобы уведомить их об атаке, следователи помогли Colonial понять хакеров и их тактику.
Объявление Министерства юстиции также было сделано до запланированной встречи президента Байдена с президентом России Владимиром Путиным на следующей неделе в Женеве, где г-н Байден, как ожидается, обратится к тому, что американские официальные лица считают готовностью Кремля обеспечить защиту хакеров. Россия обычно не арестовывает и не выдает подозреваемых в атаках программ-вымогателей.
В понедельник правительство заполнило некоторые пробелы. DarkSide предоставляет своим партнерам программы-вымогатели. Взамен DarkSide пожинает часть своей прибыли.
Официальные лица заявили, что они идентифицировали счет в виртуальной валюте, часто называемый кошельком, который DarkSide использовал для сбора платежей от жертвы вымогателя, указанный только в судебных документах. как Жертва X, но подробности взлома которой совпадают с данными Colonial. Чиновники заявили, что мировой судья в Северном округе Калифорнии в понедельник утвердил ордер на изъятие средств из бумажника.
ФБР. начал расследование DarkSide в прошлом году и идентифицировал более 90 жертв в различных секторах экономики, включая производство, право, страхование, здравоохранение и энергетику, сказал на пресс-конференции Пол М. Аббате, заместитель директора ФБР.
DarkSide впервые появился в августе и, как полагают, начинал как филиал другой российской хакерской группы под названием REvil, прежде чем в прошлом году открыл собственное предприятие.
Спустя несколько недель после того, как DarkSide атаковал Colonial, REvil использовал программу-вымогатель, чтобы попытаться вымогать деньги у JBS, одного из крупнейших в мире переработчиков мяса. Атака вынудила компанию закрыть девять заводов по производству говядины в Соединенных Штатах, разрушить птицефабрики и свиноводство и существенно повлиять на продуктовые магазины и рестораны, которым пришлось взимать дополнительную плату или убрать мясные продукты из своих меню.
В последние недели программы-вымогатели также нанесли вред больнице, обслуживающей деревню во Флориде, крупнейшее сообщество пенсионеров в Соединенных Штатах; телевизионные сети; N.B.A. и бейсбольные команды низшей лиги; и даже паромы до Нантакета и Мартас-Виньярд в Массачусетсе.
Эти эпизоды повысили уязвимость цифровых технологий в национальном сознании. На прошлой неделе официальные лица Белого дома заявили, что они работают над решением проблем с криптовалютой, которая в течение многих лет способствовала атакам программ-вымогателей.
На прошлой неделе Кристофер А. Рэй, ФБР. директор, сравнил угрозу атак программ-вымогателей с вызовом глобального терроризма в дни после атак 11 сентября 2001 года.
«Есть много параллелей, есть много важности и много мы уделяем особое внимание разрушению и предотвращению », — сказал он. «Существует общая ответственность не только между правительственными учреждениями, но и частным сектором, и даже средним американцем».
Рэй добавил, что ФБР. исследовал 100 вариантов программного обеспечения, используемых в атаках программ-вымогателей, демонстрируя масштаб проблемы.
Хотя официальные лица США старались не связывать атаки программ-вымогателей напрямую с Россией, г-н Байден, г-н Рэй и другие заявили что страна защищает киберпреступников.
Во многих случаях Россия обращается с ними как с национальным достоянием. Например, во время взлома Yahoo в 2014 году российские разведчики работали бок о бок с киберпреступниками, позволяя им получать прибыль от украденных данных, одновременно давая им указания передать учетные записи электронной почты в ФСБ, агентство, пришедшее на смену советской эпохе. КГБ
Г-н. Путин сравнил хакеров с «художниками, которые утром просыпаются в хорошем настроении и начинают рисовать». На самом деле, заявляют официальные лица США, они дают Путину и российским спецслужбам слой правдоподобного отрицания.
Ожидается, что не только Байден обсудит этот вопрос с Путиным, но и Госдепартамент. также ведет переговоры с двумя десятками других стран о способах оказания взаимного давления на Россию в борьбе с киберпреступностью.
«Если российское правительство хочет показать, что оно серьезно относится к этой проблеме, у них есть много возможностей продемонстрировать некоторый реальный прогресс, которого мы не видим », — сказал г-н Рэй на прошлой неделе.
Энн Нойбергер, заместитель советника по национальной безопасности по кибербезопасности и новым технологиям, на прошлой неделе предупредила американские компании о том, что программы-вымогатели сделали темный поворот , отмечая недавний сдвиг «от кражи данных к нарушению работы».
Хакеры напрямую нацелились на биллинговые системы Colonial. После того, как это было заморожено, руководители обнаружили, что у них нет возможности взимать плату с клиентов и заблаговременно закрыть операции. Конфиденциальная правительственная оценка показала, что, если бы трубопровод был закрыт еще на два дня, атака могла бы поставить на колени общественный транспорт и химические нефтеперерабатывающие заводы, которые используют Colonial для транспортировки дизельного топлива.
Белый дом провели экстренные встречи, чтобы противостоять нападению. Администрация Байдена объявила, что потребует от трубопроводных компаний сообщать о серьезных кибератаках и что правительство создаст круглосуточные центры экстренной помощи для борьбы с серьезными взломами.
Эксперты по кибербезопасности приветствовали шаг Министерства юстиции.
«Стало ясно, что нам нужно использовать несколько инструментов, чтобы остановить волну» вымогателей, — сказал Джон Халтквист, вице-президент компании FireEye, занимающейся кибербезопасностью. «Более пристальное внимание к разрушению может ослабить стимулы к такому поведению, которое разрастается в порочном круге».
Дэвид Э. Сэнджер представил доклад.
