Представители правоохранительных органов США заявили в понедельник, что им удалось вернуть 2,3 миллиона долларов в биткойнах, выплаченных преступной кибергруппе, участвовавшей в разрушительной атаке программ-вымогателей на Colonial Pipeline.

«Сегодня мы перевернули столы для DarkSide», — сказала Лиза Монако, заместитель генерального прокурора Министерства юстиции во время брифинга для прессы, добавив, что деньги были арестованы по постановлению суда.

Вместе с Монако заместитель директора ФБР Пол Аббейт объяснил, что агенты смогли идентифицировать кошелек виртуальной валюты, который хакеры DarkSide использовали для сбора платежей с Colonial Pipeline.

«Используя правоохранительные органы, средства потерпевших были изъяты из этого кошелька, что не позволило субъектам Темной стороны использовать их», — сказал Аббат.

ФБР отказалось сообщить, как именно оно получило доступ к биткойн-кошельку, сославшись на необходимость защиты торгового промысла.

Но Элвис Чан, помощник главного специального агента, сказал журналистам, что даже киберпреступники из других стран, такие как DarkSide, обычно используют американскую инфраструктуру в какой-то момент в ходе преступления. Когда они это сделают, это дает ФБР законное окно для возврата средств.

DarkSide работает как бизнес-модель «программа-вымогатель как услуга», что означает, что ее хакеры разрабатывают и продают инструменты взлома программ-вымогателей и продают их другим преступным «аффилированным лицам», которые затем проводят атаки.

До сих пор неясно, кто был связан с DarkSide в атаке на Colonial Pipeline.

В прошлом месяце DarkSide запустила широкомасштабную атаку программ-вымогателей на Colonial Pipeline. Кибератака вынудила компанию закрыть примерно 5 500 миль американского топливопровода, что привело к нарушению почти половины поставок топлива на восточное побережье и вызвало нехватку бензина на юго-востоке.

Атаки программ-вымогателей включают вредоносное ПО, которое шифрует файлы на устройстве или в сети, в результате чего система становится неработоспособной. Преступники, стоящие за этими типами кибератак, обычно требуют выкуп в обмен на раскрытие данных.

Colonial Pipeline заплатила хакерам выкуп в размере почти 5 миллионов долларов, подтвердил CNBC источник, знакомый с ситуацией . Не сразу стало понятно, когда произошла сделка.

ФБР ранее предупреждало жертв атак программ-вымогателей, что уплата выкупа может способствовать дальнейшей злонамеренной деятельности.

Правительство не приняло меры к тому, чтобы полностью запретить платежи с использованием программ-вымогателей, опасаясь, что это мало повлияет на то, будут ли компании платить выкуп, и просто помешает им сообщать об атаках.

Публичное объявление было частью более широких усилий по противодействию давнему нежеланию частного сектора публично сообщать о кибератаках и вовлекать правительство в свои ответы.

«Сегодня здесь говорится о том, что [если вы сообщите об атаке], мы задействуем все наши инструменты, чтобы преследовать эти преступные сети», — заявило Монако.

Официальные лица подчеркнули преимущества, которые получают компании, которые быстро сообщают ФБР о кибер-нарушениях.

«Сообщения о жертвах могут не только дать нам информацию, которая нам нужна для немедленного реального воздействия на действующих лиц… она также может предотвратить нанесение вреда в будущем», — сказал Аббате.

«Частный сектор также играет не менее важную роль, и мы должны продолжать серьезно относиться к киберугрозам и соответственно инвестировать в укрепление нашей защиты», — заявил в понедельник вечером генеральный директор Colonial Pipeline Джозеф Блаунт.

«По мере того, как наше расследование этого события продолжается, Colonial будет продолжать свою прозрачность в обмене разведданными и знаниями с ФБР и другими федеральными агентствами», — сказал он.

После атаки DarkSide президент Джо Байден заявил репортерам, что в настоящее время у США нет разведданных, связывающих атаку вымогателей с российским правительством. Хотя считается, что нападение было совершено преступной организацией в России.

«Пока что нет доказательств от наших разведчиков, что Россия причастна, хотя есть доказательства того, что вымогатель находится в России, они несут определенную ответственность за это», — заявил Байден 10 мая . Он добавил, что обсудит ситуацию с президентом России Владимиром Путиным .

Встреча лидеров двух стран намечена на 16 июня в Женеве .

Кремль отрицает, что он предпринимал кибератаки против Соединенных Штатов.

«Послание президента будет заключаться в том, что ответственные государства не укрывают преступников-вымогателей, и ответственные страны должны принять решительные меры против этих сетей-вымогателей», — заявила журналистам пресс-секретарь Белого дома Джен Псаки перед саммитом.

Администрация Байдена также оказывает давление на частный сектор, чтобы тот укрепил свою защиту от программ-вымогателей.

«Все организации должны признать, что ни одна компания не застрахована от атак программ-вымогателей, независимо от их размера и местоположения», — написала Анн Нойбергер, заместитель советника по национальной безопасности по кибербезопасности и новым технологиям, в меморандуме от 2 июня .

«Чтобы понять ваш риск, руководители предприятий должны немедленно созвать свои руководящие группы для обсуждения угрозы программ-вымогателей и обзора корпоративной безопасности и планов обеспечения непрерывности бизнеса, чтобы убедиться, что у вас есть возможность продолжать или быстро восстанавливать операции», — добавила она.

В то же время Белый дом пытается модернизировать протоколы кибербезопасности и банковское законодательство, чтобы отреагировать на криптовалюту и ее растущую роль в финансовых преступлениях, от программ-вымогателей до коррупции.

Распространенность криптовалюты в таких преступлениях, как атаки с использованием программ-вымогателей, также привлекла внимание законодателей на Капитолийском холме.

«У нас много требований к наличным деньгам в нашей стране, но мы не выяснили, в стране или в мире, как отслеживать криптовалюту», — сказал сенатор Республиканской партии штата Миссури Рой Блант в воскресенье в программе NBC «Знакомьтесь с прессой. . »

«Вы не можете отследить программу-вымогатель — выбор выкупа сейчас. И здесь мы должны работать лучше », — добавил он.