Министерство юстиции США объявило о возвращении 63,7 биткоинов, уплаченных в качестве выкупа оператором трубопроводной системы Colonial Pipeline в адрес кибервымогателей.
На пресс-конференции 7 июня заместитель генерального прокурора Лиза Монако рассказала, что оперативная группа «нашла и вернула» биткоины, которые оператор Colonial Pipeline был вынужден заплатить хакерской группировке DarkSide, которую американские правоохранительные службы связывают с Россией. Замдиректора ФБР Пол Абатт пояснил, что оперативники из киберотдела изъяли монеты из кошелька BTC, который использовался для выплаты. Ордер, поданный в Окружной суд США Северного округа Калифорнии, свидетельствует, что американским властям удалось вернуть 63,7 BTC стоимостью $2,3 млн по текущему курсу.
Монако заявила, что конфискация стала первой крупной операцией оперативной группы, чья миссия – расследовать, пресекать и преследовать исполнителей атак программ-вымогателей.
«Сегодня мы поменялись ролями с DarkSide. Погрузившись в экосистему, которая питает атаки программ-вымогателей и цифрового вымогательства, включая преступные доходы в виде цифровой валюты, мы продолжим использовать все наши инструменты и ресурсы для увеличения стоимости и последствий атак программ-вымогателей».
DarkSide осуществили атаку на трубопроводную компанию в мае 2021 года, что вызвало перебои с поставкой топлива в США.
Согласно судебным документам, 7 мая оператор Colonial Pipeline (в материалах дела обозначается как Victim X) сообщил ФБР об атаке вымогателей, а 8 мая – о переводе 75 BTC на кошелек преступников. После этого в течение нескольких дней биткоины переводились на другие адреса, преимущественно двумя транзакциями – одной крупной на почти всю сумму монет и одной небольшой на несколько несколько тысяч сатоши. Один вывод был сделан в размере 11 биткоинов, которые ушли в миксер и так и не были возвращены ФБР. 63,7 BTC также, судя по судебным материалам, были направлены в миксер, но по какой-то причине застряли там до 27 мая. В тот день неназванный актор (имя хранится в секрете) перевел 69 BTC на кошелек, ключ от которого имелся в распоряжении подразделения ФБР в Северном округе Калифорнии. Каким образом ключ оказался у ФБР, в документах не раскрывается, как и то, куда делись 5,3 BTC из 69 BTC.
Предположительно ФБР смогло получить доступ к кошельку благодаря тому, что хакеры использовали платежный сервер, который американские спецслужбы отследили. “Они просто получили ордер на обыск и нашли физический компьютер, который использовался в качестве «пароля» или закрытых ключей для разблокировки биткоин-кошелька хакеров. Это была ошибка пользователя, а не «взлом»”, – предполагает один из пользователей в твиттере.
Другие возможные сценарии – наличие инсайдера в группировке DarkSide или неосторожность одного из членов группировки, который случайно допустил утечку приватного ключа, и его перехватили американские спецслужбы.