Forças policiais dos EUA anunciaram ontem que recuperaram milhões de dólares em moedas digitais pagos aos hackers que invadiram a Colonial Pipeline com um ataque “ramsonware” (com pedido de resgate) no mês passado, ato que levou ao fechamento do principal duto transportador de gasolina e diesel da costa leste dos EUA.
Investigadores confiscaram quase 64 bitcoins, avaliados em cerca de US$ 2,3 milhões, que supostamente são os recursos obtidos com a invasão ao sistema da Colonial Pipeline, segundo informou o Departamento de Justiça.
“Os chantagistas jamais verão esse dinheiro”, disse Stephanie Hind, procuradora-geral interina dos EUA para o Distrito Norte da Califórnia. “Esse caso demonstra nossa determinação em desenvolver métodos que impeçam malfeitores de transformar novos métodos de pagamentos em instrumentos de extorsão.”
O duto da Colonial Pipeline, que transporta gasolina, diesel, combustível de aviões e outros produtos refinados do Golfo do México para Linden (Nova Jersey), ficou fechado por seis dias em maio, enquanto a empresa respondia ao ataque cibernético. A paralisação causou uma corrida por gasolina em partes da costa leste, o que elevou os preços ao maior nível em mais de seis anos e deixou milhares de postos sem combustível.
O diretor-presidente da Colonial Pipeline, Joseph Blount, disse ao “The Wall Street Journal” no mês passado que sua companhia pagou um resgate de US$ 4,4 milhões aos hackers porque os executivos estavam inseguros quanto aos danos provocados pelo ataque aos seus sistemas e consequentemente quanto tempo levaria para fazer o duto voltar a funcionar sem o eventual pagamento do resgate.
O FBI desencoraja oficialmente as vítimas a pagarem resgates porque ao fazerem isso elas podem alimentar o mercado do crime e com frequência isso não resulta no restabelecimento dos sistemas de computadores congelados, mas Blount disse na entrevista que “foi a coisa certa a fazer pelo país”.
A Colonial Pipeline disse ontem não ter nenhum comentário imediato a fazer. Blount será ouvido hoje por uma comissão do Senado sobre o ataque e a paralisação do duto, e amanhã por uma comissão da Câmara.
“O velho ditado ‘siga o dinheiro’ ainda se aplica”, disse a vice-procuradora-geral Lisa Monaco ontem. As autoridades recuperaram a maior parte do resgate, disse Monaco. “Continuaremos usando todos os nossos recursos para aumentar o custo e as consequências dos ataques com ramsonwares.”
Como o bitcoin é uma moeda volátil e recentemente sofreu oscilações fortes, a quantia recuperada é um pouco mais que a metade do valor que foi pago no mês passado. Cerca de 75 bitcoins foram pagos aos hackers pela Colonial pouco depois que a companhia tomou conhecimento de que era vítima de um ataque de ramsonware, disse uma fonte a par do assunto.
Ontem investigadores conseguiram um mandado de um juiz do norte da Califórnia que permite às autoridades trabalharem com a Colonial Pipeline para capturar os bitcoins da carteira virtual ligada ao grupo de hackers. Nesta segunda, autoridades indicaram que pretendem tentar recuperar com mais frequência dinheiro pago a operadores de ramsonwares para desestimular a atividade.
Autoridades disseram que a operação para recuperar o resgate pago refletiu uma nova estratégia do Departamento de Justiça, de aumentar a pressão sobre as gangues criminosas que operam com ramsonwares, usando uma série de ferramentas que vão além dos esforços normais de cumprimento da lei para montar processos e levar a denúncias formais. As acusações criminais contra as gangues de ramsonwares e outros grupos de hackers raramente levam a prisões, porque os suspeitos geralmente estão em países não dispostos a extraditá-los para os EUA, como a Rússia e a Coreia do Norte.
O FBI atribuiu o ataque à Colonial Pipeline ao DarkSide, gangue que realiza muitos ataques de ramsonwares e que, segundo autoridades americanas, é baseada na Rússia. Analistas de segurança dizem que a gangue faturou dezenas de milhões de dólares com esses ataques no último ano. O presidente Biden e outras autoridades disseram não haver evidências de envolvimento do governo russo no ataque, mas condenaram o presidente russo, Vladimir Putin, por permitir que grupos de hackers atuem livremente contra os EUA.
O DarkSide disse a membros no mês passado que estava encerrando suas atividades depois do ataque à Colonial Pipeline, citando a pressão dos agentes da lei dos EUA. No entanto, analistas de segurança disseram que não é incomum grupos como o DarkSide debandarem, para surgirem mais adiante com um nome diferente.