來源/CNN
作者/ Evan Perez、 Zachary Cohen、Alex Marquardt
翻譯/章魚哥
美國司法部週一宣佈,美國調查人員已追回數百萬美元的加密貨幣,他們稱這些加密貨幣是向駭客支付的贖金,駭客的攻擊導致上個月重要的東海岸管道關閉。
該公告證實了CNN早先關於FBI領導的行動報道,該行動是與Colonial Pipeline合作進行的,Colonial Pipeline是該勒索軟體攻擊的受害者。
具體而言,司法部表示它查獲了支付給一個名為DarkSide的犯罪駭客組織的個人的大約 230 萬美元的比特幣。聯邦調查局表示,一年多來它們一直在調查DarkSide,據說該公司與其他犯罪駭客共享其惡意軟體工具。
外界一般認為,Darkside是一個來自東歐的駭客團體。Elliptic指出,與傳統駭客組織不同,Darkside透過一種“勒索軟體即服務”(Ransomware-as-a-service,RaaS)的模式盈利,在這種模式下,開發者負責建立勒索軟體,而加盟者則負責感染目標計算機系統,並與受害者組織協商贖金支付事宜。這種新的商業模式徹底改變了勒索軟體,為那些不具備建立惡意軟體技術能力、但願意並能夠滲透到目標組織的人提供了途徑。受害者支付的贖金將在聯盟和開發者之間分配,比如在本次案例中,被追回的85%的贖金即63.7個比特幣應當是支付給加盟者的錢,未被追回的15%則應當流向了DarkSide開發者。
贖金追回是最近成立的美國司法部數字勒索特別工作組進行的第一次扣押,對於在蓬勃發展的勒索軟體犯罪業務中遭受破壞性網路攻擊的公司來說,這是一個罕見的結果。
Colonial Pipeline執行長Joseph Blount在上個月發表的一次採訪中告訴《華爾街日報》,該公司滿足了 440 萬美元的贖金要求,因為官員們不知道駭客入侵的程度以及恢復運營需要多長時間。但在幕後該公司已採取早期措施通知聯邦調查局,並按照指示幫助調查人員追蹤駭客使用的加密貨幣錢包,據信該錢包位於俄羅斯。
“追蹤資金仍然是我們擁有的最基本但最強大的工具之一,”司法部副部長Lisa Monaco在週一美國司法部宣佈這一訊息後表示,該公告是在 CNN 報道追回行動之後進行的。“贖金支付是推動數字勒索引擎的燃料,今天的公告表明,美國將使用所有可用的工具,使這些攻擊對犯罪企業而言成本更高,利潤更低。”
扣押令是透過美國加州北區檢察官辦公室授權的。
“勒索者永遠不會看到這筆錢,”加州北區代理檢察官Stephanie Hinds週一在司法部的新聞釋出會上說。“試圖匿名支付的新金融技術不會為犯罪分子提供一個幕布,讓他們從勤奮的美國人口袋裡掏錢。”
Blount在司法部宣佈後發表了一份宣告。
“當Colonial在5月7日遭到攻擊時,我們私下迅速地聯絡了亞特蘭大和舊金山當地的聯邦調查局外地辦事處,以及北加州和華盛頓特區的檢察官,與他們分享我們當時所知道的情況。司法部和聯邦調查局有助於我們瞭解威脅行為者及其策略。他們為追究這些罪犯的責任並將他們繩之以法所做的努力值得稱讚。”Blount說。
CNN此前報道稱,一個熟悉這項工作的知情人士表示美國官員正在尋找駭客行動或個人安全中任何可能存在的漏洞,以確定責任人,特別是監控任何可能從他們轉移資金的方式中出現的線索。
上週接受《華爾街日報》採訪時,聯邦調查局局長Christopher Wray表示,在某些情況下,勒索軟體受害者和執法部門之間的協調可以為雙方帶來積極的結果。
他表示“其不想暗示這是常態,但在某些情況下,我們甚至能夠與我們的合作伙伴一起識別加密金鑰,這將使公司能夠真正解鎖他們的資料,甚至不需要支付贖金。”
濫用加密貨幣助長加密犯罪
在關鍵基礎設施發生兩起重大事件之後,拜登政府已將注意力集中在監管較少的加密貨幣支付架構上。因為加密支付具有更強的匿名性,政府已經加大了對日益增長且破壞性越來越強的勒索軟體的打擊力度。
“濫用加密貨幣是加密犯罪頻發的一個推動因素,”副國家安全顧問Anne Neuberger告訴 CNN。“這就是人們從中獲取資金的方式,匿名性的增強和加密貨幣的崛起,本質上也宣告了洗錢犯罪的興起。”
Neuberger補充說:"個別公司感到有壓力,特別是如果他們沒有做好網路安全工作的話,就會付清贖金從而繼續執行。"但從長遠來看,這就導致贖金勒索攻擊不斷,犯罪分子得到的報酬越多,就越容易推動更大的贖金犯罪和更多潛在的破壞。"
據CNN此前報道,儘管拜登政府已明確表示需要私營公司的協助來阻止最近的勒索軟體攻擊浪潮,但聯邦機構確實保持著一些遠遠超出行業合作伙伴的能力,並善於追蹤用於支付勒索軟體集團的貨幣。
但兩位訊息人士上週表示,政府有效應對勒索軟體攻擊的能力是 “視情況而定”的。
其中一位訊息人士指出,幫助追回支付給勒索軟體參與者的錢當然是美國政府可以提供援助的一個領域,但成功率差異很大,主要取決於攻擊者的系統中是否有可以被識別和利用的漏洞。
在某些情況下,美國官員可以在攻擊發生數小時內找到勒索軟體運營商並“擁有”他們的網路,並允許相關機構監控攻擊者的通訊,並有可能識別出該組織中的其他關鍵參與者。
訊息人士補充稱,當勒索軟體參與者對其運營安全更加謹慎時,調查會變得更加複雜,包括如何轉移資金、破壞其網路或追蹤貨幣等。
據熟悉Colonial調查的三名訊息人士透露,CNN此前曾報道有跡象表明與DarkSide聯合攻擊Colonial的個人攻擊者可能是缺乏經驗的新手駭客,而不是經驗豐富的專業人士。
其中一位訊息人士還警告稱不要過多地關注美國政府的行動,他告訴 CNN涉及到對抗勒索軟體攻擊時,因為每次攻擊都是不一樣的情況,所以對這些團體採取行動所需的詳細計劃是不固定的。
"這將需要改進防禦措施,打破勒索軟體的盈利能力,並對攻擊者採取定向行動,以使這種情況停止。"該訊息人士補充說,明確指出破壞和追蹤加密貨幣支付只是其中的一部分。
這種觀點得到了網路安全專家的贊同,他們同意勒索軟體攻擊者在使用加密貨幣洗錢。
“在比特幣時代,洗錢是任何書呆子都可以做的事情,你不再需要一個大型有組織的犯罪機構。”前 Facebook 首席安全官、現Krebs Stamos 聯合創始人Alex Stamos表示。
司法部副部長Lisa Monaco釋出了一份內部備忘錄,指示美國檢察官報告他們可能正在進行的所有勒索軟體調查,此舉旨在更好地協調美國政府對網路犯罪的追蹤。
追蹤的工作範圍很廣,不僅涵蓋了司法部對勒索軟體犯罪分子本身的追捕,還包括他們用於接收付款的加密貨幣工具、傳播勒索軟體的計算機網路以及用於宣傳或銷售惡意軟體的交易市場。
司法部的指令要求美國檢察官辦公室就他們瞭解到的每一起新的勒索軟體事件都要提交內部報告。