Le département de la Justice des États-Unis a annoncé avoir récupéré 63,7 bitcoins sur les 75 payés par Colonial Pipeline lors de l'attaque dont la compagnie avait été victime.
Le FBI est parvenu à accéder à un portefeuille de Bitcoins de DarkSide, le groupe derrière le ransomware du même nom, et à récupérer une partie de la rançon qui se trouvait dessus.
Une clé privée récupérée par le FBI
C'est dans une conférence de presse qui s'est tenue ce lundi que le département de la Justice des États-Unis a annoncé avoir accès à un portefeuille de Bitcoins appartenant à DarkSide, sur lequel se trouvait une partie de la rançon versée par Colonial Pipeline. Le groupe à l'origine du ransomware avait dû se séparer après cette attaque et avait annoncé que ses serveurs et ses réserves de crypto-monnaies avaient été saisis par les autorités. Cette annonce du département de la Justice semble confirmer ses propos.
Le FBI a réussi à obtenir une clé privée lui permettant de récupérer 63,7 Bitcoins, ce qui équivaut désormais à environ 1,85 millions d'euros, sur les 75 versés par Colonial Pipeline. L'agence n'a pas souhaité dévoiler précisément comment cette clé a été obtenue, mais a laissé sous-entendre que c'était reproduisible et que cela ne dépendait pas de l'utilisation de plateformes américaines de crypto-monnaie par les hackers, coupant court à l'hypothèse voulant que les hackers auraient utilisé un service comme Coinbase.
Une autre hypothèse est avancée, celle d'une clé privée stockée sur l'un serveur de paiement saisi par les autorités. Une supposition appuyée par une communication de DarkSide annonçant qu'il avait perdu l'accès à l'un de ses serveurs de paiement et par le fait que la somme récupérée par le FBI correspond peu ou prou à la part que DarkSide verserait à ceux ayant mené l'attaque utilisant son ransomware-as-a-service.
Un mot de passe compromis à l'origine de l'attaque sur Colonial Pipeline
Vendredi, Bloomberg a dévoilé dans un article comment les hackers avaient eu accès au réseau de Colonial Pipeline dès le 29 avril. Les identifiants d'un compte servant à se connecter à un VPN qui permet d'accéder au réseau de l'entreprise à distance ont été obtenus, sans que l'on ne sache comment, par les hackers. Ce compte n'était plus utilisé, mais permettait toujours de se connecter et ne possédait aucune mesure de sécurité basique, comme une double authentification, ce qui a permis aux pirates de se connecter avec juste un identifiant et un mot de passe.
Quelques jours après, le ransomware a frappé, obligeant l'entreprise à payer la rançon demandée d'environ 3,6 millions d'euros. Grâce à ce coup de filet, Colonial Pipeline va maintenant pouvoir récupérer une partie de ce paiement. L'opération est la première de ce genre menée par la nouvellement créée Ransomware and Digital Extortion Task Force, une unité spécialisée dans la lutte contre les ransomwares mise en place par l'administration Biden.
Source : BleepingComputer
