Министерство юстиции США заявило, что правоохранительным органам удалось вернуть 63,7 из 75 биткоинов (4,4 млн долларов США), которые в начале мая компания Colonial Pipeline перечислила хакерам из группировки DarkSide. Это первый случай, когда правительство США публично заявляет о том, что оно вернуло выкуп, выплаченный вымогателям.
Предыстория
В середине мая 2021 года крупнейший в США оператор трубопроводов Colonial Pipeline, который занимается транспортировкой топлива, пострадал от атаки шифровальщика DarkSide. Из-за атаки возникли проблемы с поставками бензина, дизельного топлива, авиационного топлива и других продуктов нефтепереработки, а в ряде штатов был введен режим ЧС.
Инцидент вынудил Colonial Pipeline временно приостановить работу, а компания транспортирует нефтепродукты между нефтеперерабатывающими заводами, расположенными на побережье Мексиканского залива, и рынками на юге и востоке США. В день по трубопроводу компании, чья протяженность составляет 5500 миль, проходит до 2 500 000 баррелей, то есть примерно 45% всего топлива, потребляемого на Восточном побережье США.
Уже через несколько дней Colonial Pipeline удалось восстановить штатную работу своего трубопровода, и поставки нефтепродуктов были возобновлены в нормальном объеме. В СМИ стала распространяться информация о том, что компания выплатила вымогателям выкуп в размере почти 5 000 000 долларов США. Хотя сначала эти предположения подтверждали лишь «анонимные источники» журналистов, вскоре глава Colonial Pipeline Джозеф Блаунт (Joseph Blount) официально подтвердил, что компания заплатила злоумышленникам выкуп в размере 4,4 млн долларов США в биткоинах.
По его словам, это было необходимо, чтобы как можно быстрее оправиться от атаки шифровальщика, которая оказала влияние на критически важную энергетическую инфраструктуру. Блаунт назвал выплату выкупа «правильным поступком», сделанным «ради страны».
Так как атака на Colonial Pipeline привлекла внимание экспертов, спецслужб и СМИ со всего мира, представители хак-группы DarkSide в итоге поспешили заявить, что утратили контроль над своими веб‑серверами и средствами, полученными в результате выплаты выкупов, и прекращают работу. Многие эксперты отмечали, что к этому моменту американские власти просто не успели бы предпринять никаких мер против группировки, и хакеры могли сами заблокировала собственную инфраструктуру и скрыться с деньгами, не заплатив своим «партнерам» (классический exit scam).
Возврат выкупа
Как теперь сообщают в Министерстве юстиции США, правоохранителям удалось установить контроль над криптовалютным кошельком, в который операторы DarkSide хранили полученный от Colonial Pipeline выкуп. Согласно письменным показаниям агента ФБР, данным под присягой, правоохранительные органы отслеживали перемещение выкупа по нескольким биткоин-адресам, а затем каким-то образом смогли установить контроль над приватным ключом от упомянутого выше кошелька.
Каким именно образом ФБР сумело получить доступ к приватному ключу от кошелька преступников, неизвестно. Возможно, это как-то связано с тем фактом, что 14 мая операторы DarkSide писали, что лишились доступа к одному из своих платежных серверов, а их средства в итоге оказались переведены в неизвестном направлении. Если приватный ключ от кошелька хранился на сервере (к примеру, для отправки платежей «партнерам» группировки), вероятно специалисты ФБР смогли восстановить его после захвата сервера.
В результате правоохранителям удалось вернуть 63,7 из 75 биткоинов. Так как за последние месяцы курс биткоина к доллару изменился не в лучшую сторону, на данный момент «спасенная» криптовалюта стоит примерно 2,1 миллиона долларов США, хотя на момент выплаты выкупа ее стоимость составляла 4,4 млн долларов США.
