Getty Images
Le FBI a déclaré avoir saisi 2,3 millions de dollars versés aux attaquants de ransomware qui ont paralysé le réseau de Colonial Pipeline et déclenché des interruptions d’approvisionnement en essence et en carburéacteur le mois dernier sur la côte est.
En dollars, la somme représente environ la moitié des 4,4 millions de dollars que Colonial Pipeline a versés aux membres du groupe de ransomware DarkSide à la suite de l’attaque du 7 mai, a rapporté le Wall Street Journal, citant le PDG de la société. L’outil de décryptage DarkSide était largement connu pour être lent et inefficace, mais Colonial a quand même payé la rançon. Dans l’interview avec le -, le PDG Joseph Blount a confirmé que les lacunes empêchaient l’entreprise de l’utiliser et devaient plutôt reconstruire son réseau par d’autres moyens.
Couper l’alimentation en oxygène
Lundi, le ministère américain de la Justice a déclaré qu’il avait retracé 63,7 des quelque 75 bitcoins du pipeline colonial versés à DarkSide, qui, selon l’administration Biden, sont probablement situés en Russie. La saisie est remarquable car elle marque l’une des rares fois où une victime de ransomware a récupéré les fonds qu’elle avait versés à son attaquant. Les responsables du ministère de la Justice comptent sur leur succès pour supprimer une incitation clé aux attaques de ransomware : les millions de dollars que les attaquants devraient gagner.
“Aujourd’hui, nous avons privé une entreprise cybercriminelle de l’objet de son activité, de ses produits financiers et de son financement”, a déclaré le directeur adjoint du FBI, Paul M. Abbate, lors d’une conférence de presse. “Pour les cybercriminels à motivation financière, en particulier ceux qui sont vraisemblablement situés à l’étranger, la suppression de l’accès aux revenus est l’une des conséquences les plus percutantes que nous puissions imposer.”
Les responsables du ministère de la Justice n’ont pas dit comment ils avaient obtenu la monnaie numérique, sauf qu’ils l’avaient saisie dans un portefeuille de bitcoins par le biais de documents judiciaires déposés dans le district nord de Californie. La saisie est une victoire indispensable des forces de l’ordre dans leurs efforts acharnés pour enrayer l’épidémie de ransomware, qui frappe les gouvernements, les hôpitaux et les entreprises, dont beaucoup fournissent des infrastructures ou des services essentiels, avec une régularité croissante.
La saisie est conforme aux déclarations d’il y a près de quatre semaines attribuées à un chef d’équipe de DarkSide. Sans fournir de preuves, le message a affirmé que le site Web et l’infrastructure de distribution de contenu du groupe avaient été saisis par les forces de l’ordre, ainsi que toute la crypto-monnaie qu’il avait reçue des victimes.
Si c’était vrai, la saisie représenterait une petite fortune. Selon les chiffres récemment publiés par la société de suivi de crypto-monnaie Chainalysis, DarkSide a rapporté au moins 60 millions de dollars au cours de ses sept premiers mois à partir d’août dernier, dont 46 millions de dollars au cours des trois premiers mois de cette année. Tout en corroborant que les forces de l’ordre ont en fait obtenu que beaucoup n’est pas possible, la divulgation de lundi montre qu’elle a reçu au moins certains actifs numériques de DarkSide.
Lors de la conférence de lundi, des responsables du ministère de la Justice ont déclaré avoir suivi 90 victimes qui ont été touchées par DarkSide.
Payer en bitcoin plutôt qu’en monero
Au cours de l’année écoulée, les ransomwares sont passés d’un risque financier à un risque potentiel de perturber des services critiques et de causer des pertes de vie. À plusieurs reprises, des infections touchant les hôpitaux ont provoqué des pannes qui ont obligé les hôpitaux à annuler des chirurgies électives ou à rediriger les patients d’urgence vers des établissements à proximité. La semaine dernière, JBS, le plus grand producteur mondial de viande, a temporairement fermé des installations aux États-Unis et ailleurs après avoir perdu le contrôle de son réseau au profit d’un groupe de ransomware connu sous le nom de REvil.
Le succès des forces de l’ordre intensifie les spéculations selon lesquelles Colonial Pipeline a payé la rançon non pas pour accéder à un décrypteur qu’il savait être buggé, mais plutôt pour aider le FBI à suivre DarkSide et son mécanisme d’obtention et de blanchiment de rançons.
La spéculation est renforcée par le fait que Colonial Pipeline a payé en bitcoin, bien que cette option nécessite 10 % supplémentaires ajoutés à la rançon. Bitcoin est pseudo-anonyme, ce qui signifie que même si les noms ne sont pas attachés aux portefeuilles numériques, les portefeuilles et les pièces qu’ils stockent peuvent toujours être suivis.
Il est possible que Colonial Pipeline ait choisi de payer la rançon la plus élevée à la demande des forces de l’ordre, car le bitcoin pourrait être suivi et le monero – l’autre devise acceptée par DarkSide – est totalement introuvable. Même si tel est le cas, on ne sait pas comment les forces de l’ordre ont obtenu la clé cryptographique nécessaire pour vider le portefeuille.
“Comme allégué dans l’affidavit à l’appui, en examinant le grand livre public Bitcoin, les forces de l’ordre ont pu suivre plusieurs transferts de bitcoins et identifier qu’environ 63,7 bitcoins, représentant le produit du paiement de la rançon de la victime, avaient été transférés à une adresse spécifique, pour dont le FBI possède la « clé privée » ou l’équivalent approximatif d’un mot de passe nécessaire pour accéder aux actifs accessibles à partir de l’adresse Bitcoin spécifique », a déclaré le communiqué de lundi. “Ce bitcoin représente le produit d’une intrusion informatique et d’un bien impliqué dans le blanchiment d’argent et peut être saisi en vertu des lois pénales et civiles sur la confiscation.”
La plupart des groupes de ransomware ayant leur siège en Russie ou dans d’autres pays d’Europe de l’Est sans traités d’extradition avec les pays occidentaux, les responsables américains ont été largement paralysés dans leurs efforts pour traduire les attaquants en justice. Il est trop tôt pour savoir si les techniques qui ont permis aux responsables de suivre les fonds que Colonial Pipeline a versés à DarkSide peuvent être utilisées dans des enquêtes sur d’autres attaques de ransomware. S’ils le font, les forces de l’ordre pourraient avoir obtenu un outil puissant au moment où elles étaient le plus nécessaires.
:quality(85)/cloudfront-us-east-1.images.arcpublishing.com/infobae/PLGIFOTKV5FYFPSQ6CZQ5ZNCSE.png)
.png)
