في يونيو 7، 2021، و وزارة العدل الأمريكية أعلنوا أنهم تمكنوا من الاستيلاء على 63.69 BTC (تقدر قيمتها بحوالي 2.5 مليون دولار) من 75 BTC فدية خط أنابيب المستعمرة اضطر لدفع ل الجانب المظلم. يعد استرداد الفدية هذا أول ما يقوم به المتشددون حديثًا فرقة عمل DOJ Ransomware والابتزاز الرقمي.
على الرغم من أن مكتب التحقيقات الفيدرالي (FBI) تمكنت من استرداد حوالي 85 ٪ من BTC التي تم دفعها إلى DarkSide ، وهذا يمثل نصف ما يعادل بالدولار الأمريكي الذي تم دفعه في البداية "بسبب انخفاض سعر البيتكوين منذ دفع الفدية" CipherTrace لاحظ الفريق في منشور مدونة أثناء الإشارة إلى أن الـ 11.3 BTC المتبقية "بقيت في عنوان تابع تابع لـ DarkSide أو DarkSide مختلف".
حسب تحليل تدفق الأموال (شاركت بواسطة CipherTrace) وعملية DarkSide كنموذج Ransomware-as-a-Service (RaaS) ، يمكن "الاحتفاظ بالأموال غير المصنفة من قبل مشغلي DarkSide بينما الأموال التي تم الاستيلاء عليها هي تلك التي تحتفظ بها الشركات التابعة لـ RaaS التي نفذت الاختراق." كما لاحظت شركة أمان blockchain ، من الممارسات الشائعة لمشغلي برامج الفدية "أخذ 15-30٪ من الفدية ، مع ترك الشركات التابعة لـ RaaS (تلك التي تنفذ الهجوم) مع الباقي."
أشار تحديث CipherTrace أيضًا إلى أنه يبدو أنه تم الاستيلاء على أموال 63.69 BTC المستردة من خلال "الوصول المباشر إلى محفظة ممثل برامج الفدية ، كما هو موضح في أمر الاستيلاء من خلال الإشارة إلى سيطرة مكتب التحقيقات الفيدرالي على المفتاح الخاص ، وليس من خلال تبادل أكثر نموذجية لاسترداد الأصول ".
كشف تقرير CipherTrace كذلك أن مشغلي Darkside "قاموا بتوحيد ما تبقى من أموال Colonial Pipeline مع مدفوعات فدية متعددة أخرى ، بما في ذلك مع شركة توزيع المواد الكيميائية العالمية BRENNTAGالتي تعرضت للهجوم قبل أيام فقط ". وأضافوا أن هذا التوحيد لـ 107.8 BTC من أموال DarkSide "لم يتم الاستيلاء عليه من قبل وزارة العدل حتى الآن ، وكان خاملاً منذ 13 مايو."
كما لوحظ من قبل CipherTace:
"وفقًا لأمر الاستيلاء على DarkSide ، استخدمت فرقة الجرائم الإلكترونية التابعة لقسم سان فرانسيسكو الميداني التابع لمكتب التحقيقات الفيدرالي تحليل blockchain لتحديد تدفق أموال مدفوعات فدية خط أنابيب Colonial. في هذا المذكرة ، أعلن مكتب التحقيقات الفيدرالي أيضًا أنه يمتلك المفتاح الخاص لعنوان العملة المشفرة المرتبط بـ 63.7 BTC الذي يمكن تتبعه مباشرة إلى دفعة فدية Colonial Pipeline. من المحتمل أن تكون هذه المفاتيح الخاصة قد تم الحصول عليها نتيجة الاستيلاء الأخير على خوادم DarkSide في 13 مايو أو بالقرب منه ، كما ورد في الرسائل المرسلة إلى الشركات التابعة لعملية DarkSide RaaS ".
أكد CipherTrace أن مصادرة العملة الافتراضية عن طريق الوصول المباشر والمادي إلى المحفظة أمر "غير شائع" ، مضيفًا أنه من أجل الاستيلاء على العملات المشفرة فعليًا ، تحتاج وكالات إنفاذ القانون إلى الوصول إلى المفتاح الخاص ، أو الوصول إلى "فرد يمكنه الوصول إلى المفتاح الخاص ". هذا هو السبب في أن معظم العملات المشفرة "يتم الاستيلاء عليها إما عن طريق التبادل ، نظرًا لأن التبادلات تحتفظ بالمفاتيح الخاصة ، أو بعد إلقاء القبض على شخص لديه محفظة أو من بين ممتلكاته."
لاحظ فريق CipherTrace أيضًا أنه في 7 مايو 2021 ، هاجمت شركة DarkSide للجرائم الإلكترونية التي تتخذ من روسيا مقراً لها ، خط أنابيب كولونيال - الذي يعد جزءًا من قطاع "البنية التحتية الحيوية" في الولايات المتحدة.
كجزء من برنامج الفدية ، قام ممثلو DarkSide "بتشفير الأجهزة على الشبكة وسرقة الملفات غير المشفرة ، مهددين بإصدارها للجمهور إذا فشلت الشركة في الدفع." وفقًا لتحليل blockchain ، في اليوم التالي ، قامت شركة Colonial Pipeline بدفع 75 BTC فدية ، بقيمة تزيد عن 4.2 مليون دولار في ذلك الوقت.
كما لاحظت CipherTrace:
"في أعقاب الهجوم ، أصدر البيت الأبيض أمرًا تنفيذيًا بشأن تحسين الأمن السيبراني في الولايات المتحدة ضد 'الحملات الإلكترونية الخبيثة المستمرة والمتطورة بشكل متزايد والتي تهدد القطاع العام والقطاع الخاص وفي النهاية أمن وخصوصية الشعب الأمريكي.' '
ذكرت CipherTrace أيضًا أنه بعد 4 أيام من هجوم كولونيال بايبلاين ، شركة توزيع كيميائية عالمية BRENNTAG "عانى من هجوم فدية استهدف قسم أمريكا الشمالية."
في 11 مايو ، دفعت الشركة 78.5 BTC ، بقيمة 4.4 مليون دولار تقريبًا في ذلك الوقت ، لمشغلي برامج الفدية ، كما أشارت CipherTrace أثناء إضافة ذلك على غرار هجوم Colonial Pipeline ، "كجزء من هذا الهجوم ، قام ممثلو DarkSide بتشفير الأجهزة على الشبكة وسرقوا الملفات غير المشفرة. "
وأكدت شركة CipherTrace ، على عكس خط أنابيب كولونيال ، أن أموال برينتاغ "لم يتم استردادها بعد".
كما لاحظت CipherTrace ، فإن DarkSide هي عملية Ransomware-as-a-Service (RaaS). في عملية RaaS ، "يقوم مطورو البرامج الضارة بالشراكة مع شركات تابعة لجهات خارجية ، أو متسللين ، يكونون مسؤولين عن الوصول إلى الشبكة ، وتشفير الأجهزة ، والتفاوض بشأن دفع الفدية مع الضحية."
نتيجة لهذا النموذج الجديد نسبيًا ، يمكن الآن "استخدام برامج الفدية بسهولة من قبل الجهات السيئة التي تفتقر إلى القدرة التقنية لإنشاء البرامج الضارة بأنفسهم ولكنهم أكثر من راغبين وقادرين على التسلل إلى الهدف" ، أوضح فريق CipherTrace.
وأضافوا:
ثم يتم تقسيم مدفوعات الفدية بين الشركة التابعة والمشغل (المطور). غالبًا ما يكون هذا الانقسام بين مشغلي برامج الفدية والشركة التابعة التي تسببت في الإصابة ، علامة واضحة على نماذج Ransomware-as-a-Service. في معظم طرز RaaS ، يكون هذا التقسيم بين 15-30٪ للمشغل و 70-85٪ للشركة التابعة ".
كما أشاروا إلى أن النمو السريع لعمليات برامج الفدية كخدمة مثل نت ووكر و DARKSIDE أصبح "عملًا مربحًا للجهات الفاعلة في مجال التهديد". أشارت CipherTrace إلى أن هذه الهجمات الأخيرة ضد البنية التحتية الحيوية "تثبت أن برامج الفدية لا تؤثر فقط على الأفراد" ، مضيفةً أن هذا هو سبب إصدار وزارة العدل في 3 يونيو / حزيران مذكرة لجميع المدعين الاتحاديين الإعلان عن المدعين العامين "يجب عليهم الآن الإبلاغ عن حوادث برامج الفدية بنفس الطريقة التي يبلغون بها عن التهديدات الخطيرة لأمننا القومي".
لمواجهة برامج الفدية بشكل صحيح ، تعد مشاركة المعلومات "مفتاحًا" ، كما أشارت CipherTrace أثناء الإشارة إلى أنه في منتصف شهر يونيو ، كان مشغل RaaS ريفل أعلنت أنها "قامت بتحديث روحها وسلوكها المتوقع للنظر فيها عند اختيار ضحايا برامج الفدية ، مثل اعتبار المدارس والمستشفيات محظورة على الهجمات".
كانت هذه المنهجية المحدثة "على الأرجح محاولة لخفض ملف تعريف REvil حتى لا تصبح هدفًا ذا أولوية لوزارة العدل الأمريكية" ، كما تدعي CipherTrace.
كوينسمارت. Beste Bitcoin-Börse في أوروبا
المصدر: https://www.crowdfundinsider.com/2021/06/176745-ciphertrace-shares-report-on-blockchain-analysis-that-helped-us-seize-2m-in-darkside-ransom-paid-by- خط أنابيب استعماري /
