Colonial Pipeline: ecco il portafoglio di Bitcoin utilizzato per il pagamento del riscatto da 5 milioni di dollari

Una società di blockchain analysis ha individuato il portafoglio Bitcoin che il gruppo DarkSide ha usato per ricevere il pagamento del riscatto e ripristinare l'operatività del gasdotto statunitense
di Andrea Bai pubblicata il 17 Maggio 2021, alle 15:19 nel canale SicurezzaBitcoin
Elliptic, società specializzata in analisi blockchain, ha affermato di aver individuato il wallet Bitcoin utilizzato dagli hacker per ricevere il pagamento del riscatto da Colonial Pipeline, l'operatore del gasdotto statunitense che la scorsa settimana ha dovuto sospendere l'operatività per via di un attacco ransomware.
L'attacco è stato condotto da DarkSide, come già abbiamo avuto modo di indicare in precedenza, un gruppo hacker che non solo compie azioni di estorsione sfruttando i ransomware ma che noleggia anche i propri strumenti a terzi. Colonial Pipeline, che inizialmente aveva dichiarato di non voler accettare le condizioni degli hacker, ha invece pagato una somma pari a 5 milioni di dollari per poter ottenere le chiavi di cifratura che le consentissero di riportare i sistemi all'operatività e ripristinare quindi le operazioni del gasdotto.

Secondo le analisi di Elliptic il portafoglio Bitcoin di DarkSide ha visto l'ingresso di 75 BTC il giorno 8 maggio. L'analisi delle transazioni blockchain rivela inoltre che lo stesso portafoglio ha ricevuto 57 pagamenti da altri 21 wallet diversi, tra cui vi sarebbero anche 78,29 BTC inviati l'11 maggio da Brenntag, una società chimica evidentemente caduta vittima anch'essa di DarkSide. Infine Elliptic ha individuato un pagamento di 320 mila dollari in BTC inviato il 10 maggio dallo stesso exchange utilizzato da Colonial Pipeline. Il wallet del gruppo DarkSide risulta attivo fin dallo scorso 4 marzo e da allora ha ricevuto un totale di 17,5 milioni di dollari.
Il governo degli Stati Uniti potrebbe aver sequestrato dal portafoglio i 5 milioni di dollari pagati da Colonial Pipeline, ma Elliptic afferma che, anche se fosse il caso, DarkSide è riuscita a spostare la maggior parte dei fondi dal portafoglio il 9 maggio. Secondo Elliptic il 18% dei fondi sono stati inviati ad un piccolo gruppo di exchange, mentre il 4% è stato inviato a Hydra, il principale mercato del dark web che offre servizi di cash-out.
La possibilità di aver individuato il portafoglio di DarkSide permette a tutte le realtà che operano nel mercato delle criptovalute di poter efficacemente monitorare eventuali depositi che provengano da tale wallet. In questo modo è possibile ostacolare le operazioni di incasso, come deterrente all'attività estorsiva condotta con i ransomware.
21 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infopuntualmente il giorno dopo il buon vecchio elon ha deciso di smettere di accettare bitcoin... paura di essere associato ai malfattori che usano le criptovalute perchè anonime e meno tracciabili del denaro normale, eh? sarei tanto tanto curioso di sapere quanti bitcoin aveva sul suo conto personale elon e quanto gli ha fruttato tutto l'hype che ha creato con tesla. bastardo, milioni di risparmiatori adesso si ritrovano ad averci perso.
20 GOTO 10
RUN
Ma quindi hanno pagato per niente?
ROTFL
Da quando i "risparmiatori" giocano con le crypto??
Per difendersi esistono le assicurazioni (mi riferisco a quelle che risarciscono i danni, non a quelle che pagano i riscatti, che tra l'altro stanno valutando di staccare la spina) e naturalmente esiste la sicurezza preventiva. Occorre anche imporre pene esemplari per i criminali, in particolare quelli che attaccano sanità e infrastrutture critiche (legislatori sveglia).
Per chi ha una azienda: fate una analisi dei rischi. Anche veloce e informale è meglio di niente. Identificate cosa è critico per l'azienda, chiedetevi cosa può andare storto e prendete le misure necessarie, in primis backup e segregazione di rete.
In realtà gli strumenti assicurativi sono molto acerbi, alla fine la tipologia di danni viene coperta solo da contratti all-risk, e difficilmente coprano i danni indiretti (blocco della produzione). Anche perchè i danni indiretti sono difficilmente quantificabili.
Le aziende devono velocemente applicare iec 62443. Includendo nell'analisi rischi anche quella parte di infrastruttura IT non direttamente conivolta nel controllo della produzione.
La segregazione della rete funziona fino a un certo punto. Ottimo se proteggo i miei macchinari, ma se un ransomware mi attaca l'ERP. Io devo fermare lo stesso la produzione, perchè non ho controllo su tutto quello che c'è a contorno. E comunque l'analisi rischi va fatta bene. Tanto per un azienda piccola non costa molto e per una azienda grande, i danni possono essere tali da giustificare il costo.
puntualmente il giorno dopo il buon vecchio elon ha deciso di smettere di accettare bitcoin... paura di essere associato ai malfattori che usano le criptovalute perchè anonime e meno tracciabili del denaro normale, eh? sarei tanto tanto curioso di sapere quanti bitcoin aveva sul suo conto personale elon e quanto gli ha fruttato tutto l'hype che ha creato con tesla. bastardo, milioni di risparmiatori adesso si ritrovano ad averci perso.
beh che stia trollando un pò troppo è pacifico
e non siamo gli unici ad averlo notato
cmq sia in pratica hanno pagato 5 milioni.. per l'anima del ca...?
Le aziende devono velocemente applicare iec 62443. Includendo nell'analisi rischi anche quella parte di infrastruttura IT non direttamente conivolta nel controllo della produzione.
La segregazione della rete funziona fino a un certo punto. Ottimo se proteggo i miei macchinari, ma se un ransomware mi attaca l'ERP. Io devo fermare lo stesso la produzione, perchè non ho controllo su tutto quello che c'è a contorno. E comunque l'analisi rischi va fatta bene. Tanto per un azienda piccola non costa molto e per una azienda grande, i danni possono essere tali da giustificare il costo.
effettivamente ho provato a far fare delle analisi, anche da subsidiarie di Yarix, Tesla ecc.
ma effettivamente 2 cose ho visto
che difficilmente rendono tangibile cosa andranno a fare e si fatica a capire cosa realmente valga la pena
la reale protezione, per come la intendo, la si ha tramite EDR/XDR e SOC 24/7
ma costano davvero una fucilata.
In quel caso potrebbe essere comunque utile una segregazione parziale, per esempio con il server EPR amministrato localmente o da una rete apposita e un firewall locale che apre solo le porte applicative verso i client. Io fin'ora non ho mai sentito di ransomware così evoluti da interfacciarsi automaticamente con gli ERP, né da passare il controllo ad un eventuale operatore remoto che lo faccia. Tu per caso sai se è mai successo?
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".