le Département américain de la justice a déclaré aujourd’hui qu’il avait récupéré 2,3 millions de dollars de Bitcoin qui Pipeline colonial payé aux extorqueurs de rançongiciels le mois dernier. Les fonds avaient été envoyés à Côté obscurun syndicat de rançongiciels en tant que service qui s’est dissous après un message d’adieu aux affiliés le 14 mai disant que ses serveurs Internet et sa réserve de crypto-monnaie avaient été saisis par des entités policières inconnues.
Le 7 mai, le gang de rançongiciels DarkSide a lancé son attaque contre Colonial, qui a finalement payé 75 Bitcoins (~ 4,4 millions de dollars) à ses bourreaux. La société a déclaré que les attaquants n’avaient touché que ses réseaux informatiques d’entreprise – pas ses systèmes de sécurité et de sûreté du pipeline – mais qu’il avait quand même fermé le pipeline par mesure de précaution. [several publications noted Colonial shut down its pipeline because its billing system was impacted, and it had no way to get paid].
Le 14 mai ou vers cette date, le représentant de DarkSide sur plusieurs forums de cybercriminalité en langue russe a publié un message disant que le groupe l’appelait à se retirer.
« Les serveurs ont été saisis, l’argent des annonceurs et des fondateurs a été transféré sur un compte inconnu », lit-on dans le message d’adieu. « Le support d’hébergement, à l’exception des informations « à la demande des forces de l’ordre », ne fournit aucune autre information. »
De nombreux experts en sécurité ont déclaré qu’ils soupçonnaient que DarkSide ne faisait que rester discret pendant un certain temps grâce à la chaleur de l’attaque coloniale, et que le groupe réapparaîtrait sous une nouvelle bannière dans les mois à venir. Et bien que cela puisse être vrai, la saisie annoncée aujourd’hui par le DOJ soutient certainement les affirmations de l’administrateur de DarkSide selon lesquelles leur fermeture était involontaire.
Les entreprises de sécurité soupçonnent depuis des mois que le gang DarkSide partage un certain leadership avec celui de REvil, alias Sodinokibi, une autre plate-forme de ransomware en tant que service qui a fermé ses portes en 2019 après s’être vantée d’avoir extorqué plus de 2 milliards de dollars aux victimes. Cette suspicion s’est encore renforcée lorsque l’administrateur REvil a ajouté ses commentaires à l’annonce de la fermeture de DarkSide (voir capture d’écran ci-dessus).
Apparu pour la première fois sur les forums de piratage en langue russe en août 2020, DarkSide est une plate-forme de ransomware en tant que service que les cybercriminels peuvent utiliser pour infecter les entreprises avec des ransomwares et mener des négociations et des paiements avec les victimes. DarkSide dit qu’il ne cible que les grandes entreprises et interdit aux affiliés de déposer des ransomwares sur des organisations de plusieurs secteurs, notamment la santé, les services funéraires, l’éducation, le secteur public et les organisations à but non lucratif.
Selon une analyse publié le 18 mai par une société de sécurité de crypto-monnaie Elliptique47 victimes de cybercriminalité ont payé à DarkSide un total de 90 millions de dollars en Bitcoin, ce qui porte le paiement moyen de la rançon des victimes de DarkSide à un peu moins de 2 millions de dollars.
COMMENT L’ONT-ILS FAIT ?
Le DoJ annonce laissé ouverte la question de savoir comment exactement il a pu récupérer une partie du paiement effectué par Colonial, qui a fermé son pipeline de carburant Houston-Nouvelle-Angleterre pendant une semaine et provoqué de longues files d’attente, des hausses de prix et des pénuries de gaz dans les stations-service à travers le pays .
Le DOJ a déclaré que les forces de l’ordre étaient en mesure de suivre plusieurs transferts de bitcoins et d’identifier qu’environ 63,7 bitcoins (~ 3,77 millions de dollars le 8 mai), « représentant le produit du paiement de la rançon de la victime, avaient été transférés à une adresse spécifique, pour laquelle le FBI a la « clé privée », ou l’équivalent approximatif d’un mot de passe nécessaire pour accéder aux actifs accessibles à partir de l’adresse Bitcoin spécifique.
Comment est-il arrivé à avoir cette clé privée est la question clé. Nicolas Tisserandchargé de cours au département d’informatique de Université de Californie, Berkeleya déclaré que l’explication la plus probable est que les agents des forces de l’ordre ont saisi l’argent d’un affilié spécifique de DarkSide chargé d’apporter au gang criminel l’accès initial aux systèmes de Colonial.
« La partie » obtenu la clé privée « de leur déclaration fait beaucoup de travail », a déclaré Weaver, soulignant que le montant récupéré par le FBI était inférieur au montant total payé par Colonial.
« Il s’agit UNIQUEMENT de la rançon de Colonial Pipeline, et il semble que ce ne soit que la prise de l’affilié. »
Les experts d’Elliptic sont arrivés à la même conclusion.
« Tout paiement de rançon effectué par une victime est ensuite partagé entre l’affilié et le développeur », écrit Co-fondateur d’Elliptic Tom Robinson. « Dans le cas du paiement de la rançon de Colonial Pipeline, 85% (63,75 BTC) sont allés à l’affilié et 15% au développeur DarkSide. »
L’administration Biden subit une pression croissante pour faire quelque chose contre l’épidémie d’attaques de ransomwares. Parallèlement à l’action d’aujourd’hui, le DOJ a attiré l’attention sur les victoires de son groupe de travail sur les ransomwares et l’extorsion numériquequi ont inclus des poursuites réussies contre des escrocs à l’origine de menaces telles que les souches de rançongiciels Netwalker et SamSam.
Le DOJ a également publié une note du 3 juin à partir de Procureur général adjoint Lisa O. Monaco demandant à tous les procureurs fédéraux de respecter les nouvelles directives visant à centraliser les rapports sur les victimes de ransomwares.
L’une des principales recommandations d’un groupe de travail sur les ransomwares dirigé par certaines des plus grandes entreprises technologiques au monde consistait à disposer d’un lieu central pour les forces de l’ordre et les services de renseignement pour se rassembler et agir contre les menaces de ransomwares. Dans un rapport de 81 pages, le groupe de travail dirigé par l’industrie a appelé à une coalition internationale pour lutter contre les criminels rançongiciels et à un réseau mondial de centres d’enquête. Leurs recommandations se concentrent principalement sur la perturbation des gangs de rançongiciels cybercriminels en limitant leur capacité à être payés et en ciblant les individus et les finances des voleurs organisés derrière ces crimes.