Depuis l’ouverture du compte DarkSide en mars, Elliptic a déclaré qu’il avait reçu 17,5 millions de dollars de 21 portefeuilles Bitcoin, indiquant le nombre de rançons qu’il avait collectées ce printemps. Les analystes de la cybersécurité estiment que le groupe est actif depuis au moins août et a très probablement utilisé un certain nombre de portefeuilles Bitcoin différents pour recevoir des rançons.
Mais jeudi, quelqu’un a retiré environ 113,5 Bitcoin, soit 5,6 millions de dollars, du portefeuille Bitcoin de DarkSide et l’a transféré dans le compte d’un utilisateur inconnu, selon TRM Labs, une société de renseignement sur la blockchain de San Francisco. La somme s’élevait à la rançon de 75 Bitcoins de Colonial plus celle d’une société allemande, Brenntag, qui a également choisi de payer ses extorqueurs numériques, a déclaré TRM Labs.
À qui appartient cet autre compte est encore une autre tournure de l’intrigue dans l’épisode de piratage.
«Il est difficile de spéculer», a déclaré Esteban Castaño, cofondateur de TRM Labs, dans une interview vendredi. Il a noté que quiconque déplaçait les gains de DarkSide aurait eu accès à la clé privée du groupe dans son portefeuille Bitcoin.
“La question est de savoir où ces clés privées ont-elles été stockées?” A dit M. Castaño. «Étaient-ils sur un serveur que quelqu’un d’autre a trouvé? Ou est-ce que DarkSide a initié le transfert lui-même? »
L’examen minutieux qui a suivi l’attaque de Colonial Pipeline a clairement perturbé les groupes de ransomwares. Cette semaine, les opérateurs derrière deux grandes plates-formes de rançongiciels en russe, REvil et Avaddon, ont annoncé de nouvelles règles strictes régissant l’utilisation de leurs produits, y compris l’interdiction de cibler les entités affiliées au gouvernement, les hôpitaux ou les établissements d’enseignement.
L’administrateur de XSS, un forum populaire sur la cybercriminalité en russe, a annoncé une interdiction immédiate de toute activité de ransomware sur le forum, citant, entre autres, la mauvaise presse associée à l’industrie. Dans une déclaration publiée sur le forum, l’administrateur a attiré l’attention sur «une masse critique de préjudices, d’absurdités, de battage médiatique et de bruit», affirmant que même le porte-parole du président russe Vladimir V. Poutine avait pesé sur l’attaque du Colonial Pipe. (Le porte-parole, Dmitri S. Peskov, a nié que le Kremlin ait été impliqué dans l’attaque du pipeline.)
«Le mot rançon est devenu associé à toute une série de choses désagréables – géopolitique, chantage, cyberattaques gouvernementales», a écrit l’administrateur XSS. «Ce mot est devenu dangereux et toxique.»
