De Amerikaanse Colonial Pipeline werd begin mei slachtoffer van ransomware. De cyberaanval op een belangrijke brandstofpijpleiding in de VS zorgde ervoor dat de kraan enkele dagen moest worden dichtgedraaid. Het betaalde na de aanval 4,4 miljoen dollar losgeld, waarvan het vandaag 2,3 miljoen dollar opnieuw recupereert na een juridische actie.
De Colonial Pipeline is ruim 8850 km lang en vervoert 45% van de brandstof voor het oosten van de VS. De leiding vervoert vliegtuigbrandstof en geraffineerde benzine, soms tot 2.5 miljoen vaten per dag. Na de aanval werden getroffen systemen offline gehaald om de bedreiging te beperken. Om de brandstoftoevoer zo snel mogelijk opnieuw op gang te trekken, betaalde het bedrijf snel de dwangsom van 4,4 miljoen dollar.
Enkele dagen na de aanval verontschuldigden de hackers zich voor de ransomware. Een gekraakt VPN-account lag aan de basis van de aanval. De logingegevens voor het account waren op het dark web beschikbaar. Via de VPN verschaften de hackers zich toegang tot het netwerk van Colonial Pipeline, waardoor ze hun aanval konden uitvoeren. Tweestapsverificatie voorkomt dergelijk misbruik, maar was schijnbaar niet geactiveerd. Volgens Colonial Pipeline zijn de hackers via een testnetwerk binnen geraakt dat nooit online had mogen staan.
De US Justice Department (DOJ) heeft nu een deel van de dwangsom terug kunnen recupereren. Het traceerde de Bitcoin-betaling via de publieke Bitcoin ledger. De overheid de privésleutel van de digitale portefeuille die de hackers gebruikte loskrijgen. Na een juridische actie op de dienst die de portefeuille huisvest op servers in Noord-Californië, heeft het 63,7 Bitcoins kunnen recupereren. Dat aantal cryptomunten was tijdens de juridische actie goed voor 2,3 miljoen dollar. De totale dwangsom tijdens de aanval bedroeg 75 Bitcoins. Toen stond de cryptomunt echter veel hoger in waarde, goed voor 4,4 miljoen dollar.