Het Amerikaanse Ministerie van Justitie maakte op maandag 7 juni 2021 bekend dat onderzoekers in Washington, D.C. $ 2,3 miljoen in Bitcoin hebben teruggekregen die aan hackers van de criminele groep DarkSide zou zijn gegeven. Dit in ruil voor een aanval op een pijpleiding van een Colonial Pipeline bedrijf. De aanval legde een belangrijke pijpleiding aan de Oostkust van Noord-Amerika stil, die zich uitstrekt van Houston, Texas tot Linden, New Jersey.
Colonial Pipeline betaalt losgeld
Colonial Pipeline Co. CEO Joseph Blount gaf in een vorige maand (2021 mei) gepubliceerd interview aan The Wall Street Journal toe dat hij aan de eis van de DarkSide groep had voldaan door een losgeld van $ 4,4 miljoen aan de misdadigers te betalen. Op dat moment wisten functionarissen nog niet hoe omvangrijk de hack door de hackers was en hoe lang het zou duren om de pijplijn weer aan de praat te krijgen.
Bitcoin terugwinningsoperatie
De operatie om het aan de DarkSide groep betaalde losgeld terug te krijgen was de eerste operatie die ondernomen werd door de recent opgerichte Ransomware and Digital Extortion Task Force van het Ministerie van Justitie. Ze werd ook uitgevoerd met medewerking van de afdeling San Francisco van de FBI. Personeel van het Ministerie van Justitie kon ongeveer 63.7 Bitcoin identificeren als de opbrengst van de losgeldbetaling van het slachtoffer en de overdracht ervan traceren naar een specifiek adres waarvoor de FBI een “private key” had, het ruwe equivalent van het lange wachtwoord dat nodig is om toegang te krijgen tot een Bitcoin digitale portemonnee.
“Het traceren van geldbewegingen blijft een van de meest elementaire, maar ook krachtige hulpmiddelen die ons ter beschikking staan,” zei vice-procureur-generaal Lisa Monaco maandag (7 juni 2021) tijdens een aankondiging van het ministerie van Justitie. “Het betalen van losgeld is de brandstof die de motor van digitale afpersing aandrijft, en het succes van vandaag laat zien dat de Verenigde Staten elk middel dat tot hun beschikking staat zullen gebruiken om deze aanvallen voor criminele groepen duurder en minder winstgevend te maken.”
“Afpersers zullen dit geld nooit zien,” zei waarnemend V.S. procureur voor het Noordelijk District van Californië Stephanie Hinds op een persconferentie maandag op het ministerie van Justitie. “Nieuwe financiële technologieën die betalingen anoniem proberen te maken zullen geen sluier opwerpen vanwaarachter criminelen de zakken van hardwerkende Amerikanen kunnen leegroven.”
DarkSide – Oost-Europese criminele groepering
Een arrestatiebevel om de Bitcoins in beslag te nemen is goedgekeurd door het kantoor van de procureur van de Verenigde Staten voor het Noordelijk District van Californië. De DarkSide criminele groep is een van de grootste Ransomware-as-a-Corporation (RaaC) hacking groepen. De groep is afkomstig uit Oost-Europa en haar slachtoffers zijn meestal grote bedrijven, zoals Colonial Pipeline en Toshiba. De groep beschrijft zichzelf als “apolitiek” en niet betrokken bij geopolitiek.
Nu het Departement van Justitie en de FBI actie ondernemen om het ecosysteem achter de ransomware aanval op Colonial Pipeline aan te pakken, is er hoop dat dergelijke aanvallen in de toekomst vermeden kunnen worden. Lisa Monaco verzekerde dat de Verenigde Staten al hun middelen en instrumenten zullen blijven inzetten om de kosten en gevolgen van ransomware aanvallen te vergroten. Het Ministerie van Justitie heeft ook een speciale richtlijn uitgevaardigd dat alle advocatenkantoren in de Verenigde Staten interne rapporten moeten indienen over elk nieuw ransomware incident waarvan ze horen
