Yhdysvaltojen oikeusministeriö on saanut takaisin yli puolet Colonial Pipeline -putkiyhtiön hakkereille maksamista 4,4 miljoonan dollarin lunnasrahoista.
Venäläistaustainen hakkeriryhmä Darkside sulki taannoin kyberhyökkäyksellä tärkeän polttoaineputken Yhdysvaltain itärannikolla. Viime kuussa tuntemattomat toimijat sulkivat Darksiden serverit. Tuolloin Darksiden edustaja kertoi, että servereiltä olisi viety kryptovaluuttana maksettuja lunnasmaksuja.
– Tänään olemme päässeet Darksiden niskan päälle iskemällä koko ekosysteemiin, joka ruokkii kiristysohjelmilla tehtyjä hyökkäyksiä, mukaan lukien digitaalisen valuutan muodossa oleviin rikoksella saatuihin hyötyihin, kertoi varaoikeusministeri Lisa Monaco.
Darksiden toteuttama hyökkäys aiheutti vakavia häiriöitä Yhdysvaltain energiahuoltoon. Tilapäisesti pelistä poistettu polttoaineputki oli yli 8 800 kilometriä pitkä ja palveli suurta osaa Yhdysvaltojen itäosista. Putken sammutus johti lyhytaikaiseen polttoainepulaan.
Uusi työryhmä takavarikon takana
Oikeusministeriö kertoi jäljittäneensä Colonial Pipelinen lunnaina maksamia 75:ä bitcoinia, joiden arvo maksuhetkellä oli 4,4 miljoonan dollarin luokkaa. Maksetut lunnaat liikkuivat useiden nimettömien tilien kautta.
Oikeusministeriö onnistui kaappaamaan takaisin leijonanosan maksetuista bitcoineista, mutta koska kryptovaluutan arvo romahti hiljattain, takaisin saadut runsaat 63 bitcoinia olivat maanantaina arvoltaan vain hieman yli puolet menetetyistä rahoista.
Takavarikon toteutti Yhdysvaltain oikeusministeriön luoma uusi työryhmä, jonka kohteena on kiristyshaittaohjelmien ympärille kasvanut rikollinen ala, joka on anastanut satoja miljoonia muun muassa kouluilta, sairaaloilta, yhtiöiltä ja paikallishallinnoilta viime vuosina.
– Lunnasmaksut ovat tämän kiristyskoneiston polttoainetta, ja tämän päivän julkistus osoittaa sen, että Yhdysvallat käyttää kaikkia työkalujaan tehdäkseen näistä hyökkäyksistä kalliita ja vähemmän kannattavia rikollisille, Monaco sanoi.
Monet hyökkääjät Venäjältä
Oikeusministeriö ei avannut operaation toteutustavan yksityiskohtia. Analyytikkojen mukaan siihen saattoivat osallistua liittovaltion poliisi FBI:n ohella myös asevoimien kybersotaspesialistit.
Viikkoa Colonial Pipelinen järjestelmiin tehdyn hyökkäyksen jälkeen Darksiden pimeässä verkossa oleva verkkosivu katosi, ja ryhmän edustajaksi uskottu taho kommentoi verkossa, että ryhmä oli menettänyt kontrollin osaan järjestelmistään. Kommentoija kertoi myös osan maksetuista lunnasrahoista kadonneen heidän palvelimiltaan.
Kyberturva-asiantuntijoiden mukaan monet kiristyshyökkäysten toteuttajista ovat joko Venäjältä tai Itä-Euroopasta. Aiheen arvellaan nousevan keskusteluihin Yhdysvaltain presidentti Joe Bidenin tavatessa Venäjän Vladimir Putinin Genevessä myöhemmin tässä kuussa.