- אנשים ומחשבים – פורטל חדשות היי-טק, מיחשוב, טלקום, טכנולוגיות - https://www.pc.co.il -

הרשויות בארה"ב איתרו חלק מדמי הכופר ששילמה קולוניאל

משרד המשפטים בארה"ב הצליח למצוא חלק מדמי הכופר ששולמו להאקרים שתקפו את קולוניאל פייפליין (Colonial Pipeline).

בחודש שעבר השביתה כנופיית הכופרה דארקסייד (DarkSide) את קולוניאל, מפעילת מערכת צינורות הדלק הגדולה בארה"ב. קבוצת ההאקרים גנבה [1] כמעט 100 ג'יגה-בייט של נתונים. לאחר תפיסת הנתונים, ההאקרים נעלו את הנתונים בכמה מחשבים ושרתים, דרשו כופר והתריעו, כי אם דמי הכופר לא ישולמו, הם ידליפו את הנתונים הגנובים לאינטרנט. קולוניאל שילמה לתוקפים 4.4 מיליון דולרים במטבע קריפטוגרפי. הייתה זו אחת ממתקפות הכופרה הגדולות, שהצליחו.

שלשום (ב') הודיע משרד המשפטים האמריקני, כי הצליח להחזיר 2.3 מיליון דולרים מכלל התשלום. אנשי המשרד עשו זאת בעזרת צו תפיסה שהוציא בית משפט מחוזי בצפון קליפורניה.

"השימוש המתוחכם בטכנולוגיה, כדי להחזיק עסקים ואפילו ערים שלמות כבני ערובה, למטרות רווח – הוא בהחלט האתגר של המאה ה-21", אמרה ליסה מונקו, המשנה ליועץ המשפטי בממשל ביידן, "אולם האמרה הישנה 'עקוב אחר הכסף' עדיין תקפה. היום הפכנו את השולחנות בדארקסייד". מונקו ציינה, כי עבודה עם רשויות החוק עשויה למנוע מתוקפי הכופרות להשיג את מה שהם מבקשים, אם כי אין לכך כל ערובה.

איתור הכסף ששולם כדמי כופר הוא חלק מסדרת פעולות שעורך הממשל הנוכחי בארה"ב כנגד האקרים בכלל ומפעילי כופרות בפרט, תוך שהוא מכנה את הכופרות "מכה". אלא שמשקיפים ציינו, כי מדובר בטיפה בים, שכן העלות המצטברת של דמי הכופר ששולמו על ידי ארגונים בשנה החולפת עומדת על עשרות מיליארדי דולרים.

פול אבאטה, סגן מנהל ה-FBI, אמר, כי אנשי הבולשת בודקים כעת יותר מ-100 גירסאות של כופרות, וכי הם זיהו יותר מ-90 ארגונים שהיו קורבנות של דארקסייד. הארגונים, ציין, מגיעים ממגוון מגזרי המשק: תשתית קריטית, אנרגיה, בריאות, ביטוח, משפט וייצור. אבאטה אמר, כי הוא מאמין שדארקסייד היא קבוצת האקרים רוסית ועובדת עם חברות המשמשות "שותפות" ו"קבלניות משנה", המשתמשות בכופרה שלה. "בעבודה עם שותפים", ציין, "זיהינו ארנק מטבעות וירטואלי שהשחקנים של דארקסייד השתמשו בו כדי לגבות תשלומים מקורבנות. באמצעות רשויות אכיפת החוק נתפסו כספים של קורבנות מאותו ארנק, מה שמנע מאנשי דארקסייד להשתמש בו".

השבוע פורסם, כי ההאקרים של דארקסייד ערכו את המתקפה על ידי פריצה לחשבון לא פעיל של החברה, שלא עשה שימוש באימות רב-גורמי, MFA. את החקירה ערכו אנשי חברת מודיעין האיומים מנדיאנט (Mandiant) מבית פייראיי (FireEye).

לדברי צ'ארלס קרמייקל, סגן נשיא בכיר ומנהל טכנולוגי ראשי במנדיאנט, זרוע התגובה של פייראיי, קבוצת הכופרה ניצלה סיסמה שנפרצה לחשבון ברשת וירטואלית פרטית (VPN)  ב-29 באפריל כדי להיכנס לרשת ענקית האנרגיה. חשבון ה-VPN, אמר, כבר לא היה בשימוש בזמן ההתקפה, אך עדיין סיפק להאקרים גישה לרשת של קולוניאל. בשל הפריצה, קולוניאל נאלצה להשבית את צינורות שינוע הדלק שלה למשך חמישה ימים, וכתוצאה מכך ביותר מ-10,000 תחנות דלק ברחבי דרום-מזרח ארצות הברית היה חסר דלק. החברה שהותקפה מתפעלת צנרת באורך של כ-9,000 ק"מ והיא משנעת יותר מ-370 מיליון ליטרים ביום, נתון המשקף כ-45% מתצרוכת הדלק בחוף המזרחי של ארה"ב. הצינורות מובילים דלק מבתי הזיקוק שבחוף המזרחי לאזור העיר ניו-יורק וסביבתה. היא מספקת דלקים לסוגיהם: בנזין, סולר, דלק סילוני ונפט.

כמה ימים לאחר הפריצה, ההאקרים החליטו להיות מנומסים, והתנצלו על שתקפו [2] את קולוניאל בכופרה בסייבר. קבוצת ההאקרים שמאחורי הכופרה התנצלה על "ההשלכות החברתיות" של המתקפה, וטענה כי מטרתה היא להרוויח כסף, ולא לגרום לבעיות חברתיות.