Colonial Pipeline: ecco il portafoglio di Bitcoin utilizzato per il pagamento del riscatto da 5 milioni di dollari

Una società di blockchain analysis ha individuato il portafoglio Bitcoin che il gruppo DarkSide ha usato per ricevere il pagamento del riscatto e ripristinare l'operatività del gasdotto statunitense
di Andrea Bai pubblicata il 17 Maggio 2021, alle 15:19 nel canale SicurezzaBitcoin
Elliptic, società specializzata in analisi blockchain, ha affermato di aver individuato il wallet Bitcoin utilizzato dagli hacker per ricevere il pagamento del riscatto da Colonial Pipeline, l'operatore del gasdotto statunitense che la scorsa settimana ha dovuto sospendere l'operatività per via di un attacco ransomware.
L'attacco è stato condotto da DarkSide, come già abbiamo avuto modo di indicare in precedenza, un gruppo hacker che non solo compie azioni di estorsione sfruttando i ransomware ma che noleggia anche i propri strumenti a terzi. Colonial Pipeline, che inizialmente aveva dichiarato di non voler accettare le condizioni degli hacker, ha invece pagato una somma pari a 5 milioni di dollari per poter ottenere le chiavi di cifratura che le consentissero di riportare i sistemi all'operatività e ripristinare quindi le operazioni del gasdotto.

Secondo le analisi di Elliptic il portafoglio Bitcoin di DarkSide ha visto l'ingresso di 75 BTC il giorno 8 maggio. L'analisi delle transazioni blockchain rivela inoltre che lo stesso portafoglio ha ricevuto 57 pagamenti da altri 21 wallet diversi, tra cui vi sarebbero anche 78,29 BTC inviati l'11 maggio da Brenntag, una società chimica evidentemente caduta vittima anch'essa di DarkSide. Infine Elliptic ha individuato un pagamento di 320 mila dollari in BTC inviato il 10 maggio dallo stesso exchange utilizzato da Colonial Pipeline. Il wallet del gruppo DarkSide risulta attivo fin dallo scorso 4 marzo e da allora ha ricevuto un totale di 17,5 milioni di dollari.
Il governo degli Stati Uniti potrebbe aver sequestrato dal portafoglio i 5 milioni di dollari pagati da Colonial Pipeline, ma Elliptic afferma che, anche se fosse il caso, DarkSide è riuscita a spostare la maggior parte dei fondi dal portafoglio il 9 maggio. Secondo Elliptic il 18% dei fondi sono stati inviati ad un piccolo gruppo di exchange, mentre il 4% è stato inviato a Hydra, il principale mercato del dark web che offre servizi di cash-out.
La possibilità di aver individuato il portafoglio di DarkSide permette a tutte le realtà che operano nel mercato delle criptovalute di poter efficacemente monitorare eventuali depositi che provengano da tale wallet. In questo modo è possibile ostacolare le operazioni di incasso, come deterrente all'attività estorsiva condotta con i ransomware.
17 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infopuntualmente il giorno dopo il buon vecchio elon ha deciso di smettere di accettare bitcoin... paura di essere associato ai malfattori che usano le criptovalute perchè anonime e meno tracciabili del denaro normale, eh? sarei tanto tanto curioso di sapere quanti bitcoin aveva sul suo conto personale elon e quanto gli ha fruttato tutto l'hype che ha creato con tesla. bastardo, milioni di risparmiatori adesso si ritrovano ad averci perso.
20 GOTO 10
RUN
Ma quindi hanno pagato per niente?
ROTFL
Da quando i "risparmiatori" giocano con le crypto??
In realtà gli strumenti assicurativi sono molto acerbi, alla fine la tipologia di danni viene coperta solo da contratti all-risk, e difficilmente coprano i danni indiretti (blocco della produzione). Anche perchè i danni indiretti sono difficilmente quantificabili.
Le aziende devono velocemente applicare iec 62443. Includendo nell'analisi rischi anche quella parte di infrastruttura IT non direttamente conivolta nel controllo della produzione.
La segregazione della rete funziona fino a un certo punto. Ottimo se proteggo i miei macchinari, ma se un ransomware mi attaca l'ERP. Io devo fermare lo stesso la produzione, perchè non ho controllo su tutto quello che c'è a contorno. E comunque l'analisi rischi va fatta bene. Tanto per un azienda piccola non costa molto e per una azienda grande, i danni possono essere tali da giustificare il costo.
puntualmente il giorno dopo il buon vecchio elon ha deciso di smettere di accettare bitcoin... paura di essere associato ai malfattori che usano le criptovalute perchè anonime e meno tracciabili del denaro normale, eh? sarei tanto tanto curioso di sapere quanti bitcoin aveva sul suo conto personale elon e quanto gli ha fruttato tutto l'hype che ha creato con tesla. bastardo, milioni di risparmiatori adesso si ritrovano ad averci perso.
beh che stia trollando un pò troppo è pacifico
e non siamo gli unici ad averlo notato
cmq sia in pratica hanno pagato 5 milioni.. per l'anima del ca...?
Le aziende devono velocemente applicare iec 62443. Includendo nell'analisi rischi anche quella parte di infrastruttura IT non direttamente conivolta nel controllo della produzione.
La segregazione della rete funziona fino a un certo punto. Ottimo se proteggo i miei macchinari, ma se un ransomware mi attaca l'ERP. Io devo fermare lo stesso la produzione, perchè non ho controllo su tutto quello che c'è a contorno. E comunque l'analisi rischi va fatta bene. Tanto per un azienda piccola non costa molto e per una azienda grande, i danni possono essere tali da giustificare il costo.
effettivamente ho provato a far fare delle analisi, anche da subsidiarie di Yarix, Tesla ecc.
ma effettivamente 2 cose ho visto
che difficilmente rendono tangibile cosa andranno a fare e si fatica a capire cosa realmente valga la pena
la reale protezione, per come la intendo, la si ha tramite EDR/XDR e SOC 24/7
ma costano davvero una fucilata.
ma effettivamente 2 cose ho visto
che difficilmente rendono tangibile cosa andranno a fare e si fatica a capire cosa realmente valga la pena
la reale protezione, per come la intendo, la si ha tramite EDR/XDR e SOC 24/7
ma costano davvero una fucilata.
Molte aziende si approcciano alla sicurezza informatica, pensando che tutto si riduca ad un elenco di SW e HW da comprare e installare.
Nella realtà invece, la sicurezza informatica prevede la creazione di procedure operative interne all'azienda per ridurre i rischi di un attacco e far fronte in caso di attacco. Ovviamente ogni azienda ha un suo livello di rischio. Livello che dipende dall'attività dell'azienda. Un commercialista avrà un livello più basso rispetto a una società che gestisce un oleodotto.
Questo rende difficile dire cosa realmente andranno a fare queste società. Perchè a seconda della società, grandezza e presenza territoriale, quello da fare cambia molto.
Neanche io ho avevo avuto notizia di attacchi diretti all'ERP. Anche se googlando ho trovato questo.
Quello che evidenziavo era che non sempre la segregazioni delle rete aiuta, anche se le reti sono separate. produzione e gestione, un attacco su una delle due, comporta delle difficoltà all'azienda. Se attacco i server ERP, inevitabilmente l'azienda è obbligata a fermare la produzione, anche se quest'ultima non è stata attaccata. Spesso la segregazione delle reti viene vista come la panacea della sicurezza informatica. Quando è solo un parte della soluzione.
Io mi ricordo del ransomware Petya che tra gli altri aveva attaccato la Verralia. Sembrerebbe che dalla filiale ucraina, il ransomware fosse riuscito ad attaccare i server Francesi. Le macchine non erano state attaccate, ma il ransomware aveva compromesso i sistemi di spedizioni. Costringendo la verrallia a fermare la produzione e fare i DDT a mano.
Il discorso delle porte è efficace finche il ransomware non sfrutta una falla zero-day non conosciuta. Oppure viene diffuso attraverso account privilegiati, hackerati tramite social engineering. Con questo non voglio dire che non serve chiudere le porte, ma che è solo una parte della soluzione.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".