Агенты ФБР смогли получить ключ к биткоин-кошельку группировки Darkside и вернуть почти 64 биткоина из 75, выплаченных Colonial в начале мая. В пересчёте на доллары, впрочем, удалось вернуть лишь чуть более половины — курс биткоина с начала мая серьёзно снизился.
Гоните деньги назад
Властям США удалось перехватить более половины биткоинов, выплаченных в качестве выкупа группировке Darkside после успешной атаки на Colonial Pipeline, крупного оператора трубопровода.
Изучив публичный реестр Bitcoin, правоохранительным органам удалось идентифицировать 63,7 биткоина из тех 75, которые злоумышленники получили от Colonial. В пересчёте на обычные деньги это составляло $4,5-5 млн. С тех пор курс биткоина заметно снизился, так что перехваченные активы примерно равняются $2,1-2,3 млн по стоимости.
Каким-то образом правоохранительным органам удалось получить приватный ключ доступа к криптокошельку Darkside, на который был переведён выкуп. Как именно это стало возможным, остаётся предметом спекуляций. В середине мая группировка Darkside объявила, что её инфраструктура была захвачена вместе со всеми активами, находившимися на тот момент в их кошельках. Вероятно, как раз тогда агентам ФБР удалось найти и приватный ключ.
В заявлении заместителя генерального прокурора США Лайзы Монейко (Lisa Monaco) указывается, что успешный перехват большей части выкупа стал возможен благодаря тому, что Colonial Pipeline сразу же обратились в ФБР, как только атака стала очевидной.
Вернуть всё не удастся
Но это не означает, что в других подобных случаях жертвам шифровальщиков-вымогателей удастся вернуть свои деньги, если они заплатили выкуп. Даже в ситуации с Colonial перехвачена лишь часть биткоин-активов. Остальное операторы Darkside предположительно успели выплатить партнёрам — непосредственным исполнителям атаки, прежде чем свернули деятельность.
«Darkside были объектом расследования со стороны правоохранительных органов ещё задолго до атаки на Colonial, — отмечает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Возможно, у ФБР уже был доступ к инфраструктуре группировки, и оставалось дождаться громкой атаки, чтобы демонстративно «воздать по заслугам»; ведь перехват биткоинов — это ещё и акция психологического воздействия в отношении киберпреступников — мол, все ваши художества можно отследить, а деньги — забрать. Сейчас правоохранительные органы во всём мире активизировали борьбу с шифровальщиками, поскольку аппетиты их операторов переросли все терпимые значения. Но прекращения атак это за собой не повлечёт».
В настоящее время власти США рассматривают возможность приравнять расследования кибератак с помощью шифровальщиков к расследованию терактов. В результате атаки на Colonial Pipeline со стороны группировки Darkside привели к перебоям с поставками горючего в нескольких штатах на востоке США. Атака на производителя продуктов питания JBS Foods (со стороны группировки REvil) также привело к остановке производства. В обоих случаях атакованные компании можно причислить к критической инфраструктуре, причём, в случае с JBS, не только США.