Как объяснили в минюсте США, ФБР зафиксировало многочисленные переводы криптовалюты на один виртуальный кошелек, которым, очевидно, пользовались преступники, и взломало его "частным ключом". Откуда у специалистов бюро был доступ к такому ключу, неизвестно. Его могли обнаружить на серверах хакеров, над которыми ФБР, вероятно, установило контроль, цитирует издание Financial Times Дейва Джеванса, исполнительного директора группы блокчейн-аналитики CipherTrace. По словам Элвиса Чана, сотрудника ФБР, нередко на руку бюро играет то, что многие киберпреступники используют для незаконных операций именно инфраструктуру США, передает CNBC.
Напомним, американские правоохранители полагают, что за взломом системы Colonial Pipeline якобы стоит организация DarkSide, которая обычно разрабатывает инструменты для виртуального взлома и вымогательства, продает их другим злоумышленникам и имеет процент с их преступных операций. Как заявил Том Робинсон, один из основателей аналитической фирмы Elliptic, скорее всего перехваченная американскими властями часть выкупа - это доля партнеров DarkSide. Кто именно выступает этими партнерами, пока не ясно. Но известно, как хакеры могли взломать систему: агентство Bloomberg писало со ссылкой на Чарльза Кармакала, старшего вице-президента компании по кибербезопасности Mandiant, что злоумышленники использовали пароль от одной из частных учетных записей, через которые сотрудники фирмы подключались к корпоративной сети удаленно.
Как отмечает телеканал CNN, возвращение выкупа, хоть и частичное, стало первой победой на этом направлении группы по борьбе с вымогательством в цифровом пространстве, которую недавно создал минюст США. Но такой исход является скорее исключением из правил, чем тенденцией, так как зачастую при хакерских атаках с вымогательством почти невозможно поймать виртуальный след злоумышленников. Однако в случае с Colonial Pipeline это удалось: руководство компании быстро уведомило о случившемся ФБР и следовало инструкциям