MILANO (MF-DJ)--Le autorità statunitensi hanno recuperato milioni di dollari, sotto forma di bitcoin, pagati agli hacker che il mese scorso hanno colpito un importante oleodotto della costa orientale degli Usa con un attacco ransomware.
Gli investigatori hanno sequestrato circa 64 bitcoin, per un valore di circa 2,3 milioni di dollari, da un portafoglio virtuale, ovvero i presunti proventi dell'attacco hacker effettuato da un gruppo criminale con sede in Russia contro Colonial Pipeline, ha detto il dipartimento di Giustizia.
"Gli estorsori non vedranno mai questi soldi", ha detto ai giornalisti Stephanie Hinds, procuratore in carica degli Stati Uniti per il distretto settentrionale della California, aggiungendo che "questo caso dimostra la nostra determinazione a sviluppare metodi per impedire ai malfattori di convertire nuovi metodi di pagamento in strumenti ed estorsioni per realizzare profitti immeritati".
Gli alti funzionari dell'amministrazione Biden nelle ultime settimane hanno definito gli attacchi ransomware, attraverso cui i criminali prendono in ostaggio i dati di un'organizzazione o il suo sistema informatico per ottenere un riscatto, come una minaccia urgente per la sicurezza nazionale. Solo nell'ultimo mese aggressori legati alla Russia hanno minacciato l'approvvigionamento di carburante e carne della Nazione nonchè sistemi scolastici, ospedali e Governi locali che hanno subito attacchi ransomware sempre più frequenti.
Gli attacchi ransomware sono diventati anche una questione diplomatica per gli Stati Uniti, dato che gli autori degli attacchi spesso sembrano risiedere in Paesi che non sono disposti a estradarli negli Stati Uniti, come la Russia o la Corea del Nord. Il presidente Usa, Joe Biden, e altri funzionari hanno affermato che non ci sono prove che il Governo russo sia coinvolto nell'attacco a Colonial Pipeline ma hanno criticato il presidente russo Vladimir Putin per aver consentito agli hacker di prendere di mira gli Stati Uniti liberamente. Biden intende discutere della questione con Putin al vertice di Ginevra il 16 giugno.
"Una delle cose che il presidente Biden chiarirà al presidente Putin quando lo vedrà è che gli Stati non possono essere in grado di ospitare coloro che sono coinvolti in questo tipo di attacchi", ha detto ieri il segretario di Stato Usa, Antony Blinken, in una testimonianza al Congresso.
Putin ha ampiamente respinto le accuse occidentali sugli attacchi informatici provenienti dalla Russia e ha affermato alla televisione di Stato russa la scorsa settimana che è assurdo suggerire un coinvolgimento russo nei recenti attacchi ransomware.
Il mese scorso Colonial Pipeline, che trasporta benzina, diesel, carburante per jet e altri prodotti raffinati dalla costa del Golfo a Linden, in New Jersey, è stata chiusa per sei giorni dopo un attacco ransomware contro i suoi sistemi aziendali. La compagnia ha volontariamente messo fuori servizio il gasdotto a causa dei timori che l'attacco si sarebbe diffuso e l'interruzione ha stimolato una corsa ad accaparrarsi la benzina nella costa orientale, che ha spinto i prezzi ai livelli più alti da più di sei anni e ha lasciato migliaia di stazioni di servizio senza carburante.
L'Fbi ha scoraggiato le vittime dal pagare riscatti perché così facendo possono alimentare un mercato criminale in forte espansione e spesso ciò non si traduce nel ripristino dei sistemi informatici congelati. L'amministratore delegato di Colonial Pipeline, Joseph Blount, ha dichiarato al Wall Street Journal che la società ha pagato 4,4 milioni di dollari agli hacker perché i dirigenti non erano sicuri di quanto gravemente l'attacco informatico avesse violato i suoi sistemi o di quanto tempo ci sarebbe voluto per riattivare il gasdotto.
Il riscatto ammontava complessivamente a 75 bitcoin, ha detto una persona a conoscenza del pagamento, 64 dei quali sono stati recuperati. Dato che il valore della criptovaluta fluttua velocemente il valore in dollari recuperato è solo poco più della metà del valore in dollari al momento del pagamento del riscatto.
In una dichiarazione ieri Blount ha affermato che Colonial intende continuare a condividere "intelligence e conoscenze" con le agenzie federali e che il suo obiettivo è aiutare altre società di infrastrutture critiche a rafforzare le proprie difese informatiche e collaborare tra i vari settori per contrastare gli attacchi. "Punire i criminali informatici e distruggere l'ecosistema che consente loro di operare è il modo migliore per scoraggiare e difendersi da futuri attacchi di questa natura", ha aggiunto.
Blount dovrebbe testimoniare al Senato sull'attacco e sull'interruzione dell'oleodotto oggi e di nuovo domani davanti a una commissione della Camera.
Ieri gli investigatori hanno ottenuto un mandato di sequestro da un magistrato della California settentrionale che ha consentito alle autorità che collaborano con Colonial Pipeline di recuperare i bitcoin dal portafoglio virtuale collegato al gruppo di hacker. L'Fbi aveva tracciato il pagamento del riscatto a maggio, secondo i documenti del tribunale.
I funzionari delle forze dell'ordine spesso lavorano con analisti del settore privato che possono tenere traccia delle transazioni di criptovaluta attraverso registri pubblici noti come blockchain. Mappando cluster di portafogli virtuali e incrociando le loro transazioni con informazioni sugli attacchi hacker, affermano gli analisti, sono in grado di tracciare in modo affidabile molti pagamenti di riscatti.
Dopo aver ricevuto i pagamenti da vittime come Colonial, gli hacker spesso trasferiscono i fondi tra diversi portafogli per nascondere le proprie tracce o pagare gli affiliati.I funzionari delle forze dell'ordine possono intervenire con mandati di perquisizione e sequestrare i fondi, hanno detto gli analisti.
"Poiché le transazioni in bitcoin sono disponibili su un registro distribuito pubblicamente, in molti casi le forze dell'ordine possono tracciare i pagamenti", ha affermato Sujit Raman, un ex alto funzionario del dipartimento di Giustizia, spiegando che "quando i criminali informatici usano i bitcoin, a volte questo può essere più tracciabile del semplice utilizzo di contanti o di una valuta legale".
Le forze dell'ordine statunitensi hanno precedentemente sequestrato i proventi di attacchi ransomware e altre somme di criptovaluta, tra cui più di un milione di dollari legati a un gruppo militante palestinese lo scorso anno. I funzionari ieri hanno detto che intendono cercare più frequentemente di recuperare i fondi pagati agli hacker per disincentivare l'attività.
Funzionari dell'amministrazione e alcuni legislatori nelle ultime settimane hanno chiesto di prendere in considerazione normative più severe sulle valute digitali, dato che hanno consentito a gruppi di hacker e altri criminali di estorcere le vittime.
L'Fbi ha incolpato dell'attacco a Colonial Pipeline il gruppo DarkSide, che secondo i funzionari statunitensi ha sede in Russia e ha guadagnato decine di milioni nell'ultimo anno, spesso condividendo il suo malware con criminali affiliati e poi dividendosi i ricavi. Tom Robinson, co-fondatore della società di analisi blockchain Elliptic, che ha tracciato la transazione da Colonial a DarkSide, ha affermato che l'importo sequestrato sembra rappresentare la quota degli affiliati di DarkSide.
Gli investigatori hanno identificato oltre 90 vittime di attacchi ransomware a opera di DarkSide in diversi settori delle infrastrutture critiche, tra cui manifatturiero, legale, assicurativo, sanitario ed energetico, ha detto ieri il vicedirettore dell'Fbi, Paul Abbate.
DarkSide ha detto ai soci il mese scorso che si sarebbe sciolto dopo l'attacco all'oleodotto, citando le pressioni delle forze dell'ordine statunitensi. I ricercatori della sicurezza, tuttavia, hanno affermato che non è raro che gruppi che compiono attacchi ransomware come DarkSide si sciolgano, solo per riapparire in seguito con un nome diverso.
cos
(END) Dow Jones Newswires
June 08, 2021 05:24 ET (09:24 GMT)
