A UCSF pagou US $ 1,14 milhão a hackers em junho de 2020 como pagamento de resgate – mas pode ter havido uma segunda transferência.

A University of California San Fransisco pagou mais de US $ 1 milhão em ransomware para hackers em 12 de junho de 2020.

Uma nova pesquisa sugere que pode ter havido um segundo pagamento feito um dia antes.

Se for verdade, o pagamento total feito pela UCSF seria de US $ 1,8 milhão

Pesquisadores do provedor de carteira sem chave ZenGo suspeitam que a Universidade da Califórnia em São Francisco não fez um, mas dois pagamentos de resgate ao grupo de hackers Netwalker no início deste ano.

Conforme relatado pela Decrypt , as transcrições mostraram que um pagamento de $ 1,14 milhão foi feito em Bitcoin em 12 de junho de 2020. Mas tendo olhado para a transação no blockchain, os pesquisadores da ZenGo notaram que uma segunda transação muito semelhante foi feita na mesma época, no valor de $ 700.000 – e provavelmente era mais um pagamento de resgate.

Ouça o podcast The Decrypt Daily

Sua dose diária de notícias, aprendizado, fofocas e discussões sobre criptomoedas.

Ouço

“O pagamento até então desconhecido foi cronologicamente o primeiro. A mídia não percebeu, pois confiava apenas na correspondência vazada entre invasores e negociadores e não usava a análise do Bitcoin ”, disse Tal Be’ery, co-fundador da ZenGo à Decrypt .

Entramos em contato com o UCSF e atualizaremos este artigo se recebermos uma resposta.

Como eles encontraram o pagamento?

Os pesquisadores da ZenGo rastrearam o pagamento original no blockchain Bitcoin; como uma transação muito grande, era difícil perder. Eles sabiam que a soma do resgate pago era de 116,4 BTC e também sabiam a data de pagamento de 12 de junho de 2020. Usando essas informações, os pesquisadores consultaram o blockchain do Bitcoin em busca de transações relatadas que se encaixassem na descrição até encontrarem os dados corretos.

Durante a investigação, os pesquisadores descobriram um pagamento semelhante feito 19 horas antes do pagamento UCSF relatado. A trilha do dinheiro era muito semelhante, com os fundos originando-se do mesmo endereço da Binance e indo para a mesma afiliada da Netwalker.

Esse pagamento pode não ter relação, mas Be’ery foi informado de que era mais provável que estivesse relacionado ao ataque de ransomware original. “Os negociadores de ransomware com quem conversei disseram que muitas vezes tentam pagar em parcelas em troca de alguns“ marcos ”(por exemplo, dados sobre como os invasores conseguiram penetrar na rede) para construir um relacionamento entre as partes”, disse Be’ery.