Crypto-empreinte des ransomwares

Les cybercriminels ont gagné plus de 16 millions de dollars grâce aux ransomwares entre 2016 et 2017.

Mieux nous comprenons le mode opératoire et l’échelle opérationnelle des cybercriminels, mieux nous pouvons les combattre. Dans le cas d’un ransomware, l’évaluation de la réussite et de la rentabilité d’un groupe criminel spécifique n’est généralement pas chose facile. Les fournisseurs de solutions de sécurité en apprennent plus sur ces attaques en observant et en communiquant avec leurs clients, ce qui signifie que nous voyons surtout les tentatives d’attaque ratées. Pendant ce temps, les victimes du ransomware gardent le silence (surtout si elles ont payé la rançon).

C’est pour cette raison que nous avons peu de données fiables sur les attaques réussies. Pourtant, lors de l’édition 2020 du Remote Chaos Communication Congress (RC3), une équipe de chercheurs a présenté une méthode plutôt curieuse d’analyse des campagnes cybercriminelles, du début à la fin, qui repose sur l’empreinte des cryptomonnaies.

Les analystes des universités de Princeton, de New York et de San Diego (Californie) ainsi que les employés de Google et de Chainalysis ont réalisé cette étude en 2016 et 2017. Quelques années se sont écoulées mais leur méthode reste applicable.

Méthode de recherche

Les escrocs craignent que l’argent ne laisse des traces et c’est pourquoi les cybercriminels modernes préfèrent utiliser les cryptomonnaies (surtout Bitcoin) puisqu’elles ne sont pas vraiment réglementées et qu’elles garantissent l’anonymat. De plus, tout le monde a accès aux cryptomonnaies et les transactions effectuées ne peuvent pas être annulées.

Pourtant, une autre caractéristique pertinente de Bitcoin entre en jeu : toutes les transactions Bitcoin sont publiques. Cela signifie qu’il est possible de suivre les flux financiers et d’avoir un aperçu de l’étendue des mécanismes internes de l’économie cybercriminelle. D’ailleurs, c’est exactement ce que les chercheurs ont fait.

Certains escrocs, mais pas tous, génèrent une adresse de portefeuille BTC unique pour chaque victime, donc les chercheurs ont d’abord récupéré les portefeuilles créés pour recevoir les paiements de rançon. Ils ont trouvé certaines adresses dans des messages publics qui parlaient de l’infection (plusieurs victimes ont partagé des captures d’écran de la demande de rançon en ligne) et ils en ont obtenu d’autres en lançant le ransomware sur des machines tests.

Ensuite, les chercheurs ont suivi la trace de la cryptomonnaie après que la somme ait été transférée vers le portefeuille ce qui, dans certains cas, oblige les escrocs à effectuer des micro-paiements de Bitcoin vers leurs comptes. Le soutien de Bitcoin au co-spending, au moyen duquel les fonds de plusieurs portefeuilles sont virés sur un seul, permet aux cybercriminels de fusionner les paiements de rançon de plusieurs victimes. Une telle opération exige que la tête pensante ait les clés de plusieurs portefeuilles. Par conséquent, c’est le suivi de ces opérations qui permet d’étendre la liste des victimes et de trouver en même temps l’adresse du portefeuille central vers lequel les fonds sont transférés.

Après avoir étudié les flux financiers entre les portefeuilles pendant deux ans, les chercheurs ont pu se faire une idée des revenus des cybercriminels et des méthodes qu’ils utilisent pour blanchir leur argent.

Principales conclusions

La principale découverte des chercheurs est, qu’en l’espace de deux ans, 19 750 victimes ont transféré près de 16 millions de dollars aux opérateurs des cinq types de ransomwares les plus courants. Il est vrai que ce chiffre n’est pas tout à fait exact (il est peu probable qu’ils aient pu remonter toutes les transactions) mais il donne une estimation approximative de l’ampleur de l’activité des cybercriminels quelques années auparavant.

Il est intéressant de noter que près de 90 % des revenus proviennent des familles Locky et Cerber, les deux menaces de ransomware les plus actives à l’époque. De plus, le malware tristement célèbre WannaCry n’a rapporté que quelques centaines de milliers de dollars, même si de nombreux experts disent que ce malware est un wiper, et non un ransomware.

Estimation des revenus des créateurs des ransomwares les plus répandus en 2016-2017.

Estimation des revenus des créateurs des ransomwares les plus répandus en 2016-2017. Source

L’aspect le plus intéressant est d’avoir cherché à savoir combien d’argent les cybercriminels ont utilisé et comment ils y ont eu accès. Pour ce faire, les chercheurs ont utilisé la même méthode d’analyse des transactions pour voir quels portefeuilles des cybercriminels sont apparus dans des transactions jointes impliquant les portefeuilles connus des services en ligne de monnaie d’échange numérique. Cette technique ne permet pas de suivre tous les paiements mais elle a tout de même permis de constater que les cybercriminels ont généralement retiré l’argent en passant par BTC-e.com et BitMixer.io. Les autorités ont fermé ces deux plateformes d’échange pour, comme vous l’avez certainement deviné, blanchiment d’argent.

Malheureusement, la vidéo de l’intervention de l’équipe n’est pas disponible sur le site de RC3 mais vous pouvez lire la totalité du rapport ici.

Comment se protéger des ransomwares

Les profits exceptionnels obtenus grâce aux ransomwares ont poussé les cybercriminels à adopter un comportement encore plus impétueux. Un jour ils se présentent comme les Robin des Bois des temps modernes en investissant dans des œuvres de charité et le lendemain ils lancent une campagne publicitaire pour harceler encore plus les victimes. Dans cette étude, les chercheurs ont essayé de localiser les points de pression qui pourraient interrompre les flux financiers et semer le doute dans l’esprit des cybercriminels quant à la rentabilité du nouveau ransomware.

La seule méthode vraiment efficace pour lutter contre la cybercriminalité consiste à empêcher l’infection. Ainsi, nous vous conseillons de suivre de près les conseils suivants :

  • Formez vos employés pour qu’ils sachent reconnaître les méthodes d’ingénierie sociale. En dehors de quelques exceptions, les escrocs essaient généralement d’infecter les ordinateurs en envoyant un document ou un lien malveillant à l’utilisateur.
  • Mettez régulièrement à jour tous vos programmes et surtout le système d’exploitation. Très souvent, le ransomware et ses outils de livraison exploitent les vulnérabilités connues mais pas encore corrigées.
  • Installez des solutions de sécurité équipées de technologies anti-ransomware. Dans l’idéal, elles devraient être capables de gérer les menaces connues mais aussi celles qui n’ont pas encore été détectées.
  • Sauvegardez régulièrement vos données. Il convient de conserver vos back-ups sur un dispositif séparé qui ne soit pas toujours connecté au réseau local.
Conseils