{"id":16280,"date":"2021-01-22T07:55:28","date_gmt":"2021-01-22T07:55:28","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=16280"},"modified":"2021-01-22T07:55:28","modified_gmt":"2021-01-22T07:55:28","slug":"rc3-bitcoin-ransom-tracing","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/rc3-bitcoin-ransom-tracing\/16280\/","title":{"rendered":"Crypto-empreinte des ransomwares"},"content":{"rendered":"

Mieux nous comprenons le mode op\u00e9ratoire et l\u2019\u00e9chelle op\u00e9rationnelle des cybercriminels, mieux nous pouvons les combattre. Dans le cas d\u2019un ransomware, l\u2019\u00e9valuation de la r\u00e9ussite et de la rentabilit\u00e9 d\u2019un groupe criminel sp\u00e9cifique n\u2019est g\u00e9n\u00e9ralement pas chose facile. Les fournisseurs de solutions de s\u00e9curit\u00e9 en apprennent plus sur ces attaques en observant et en communiquant avec leurs clients, ce qui signifie que nous voyons surtout les tentatives d\u2019attaque rat\u00e9es. Pendant ce temps, les victimes du ransomware gardent le silence (surtout si elles ont pay\u00e9 la ran\u00e7on).<\/p>\n

C\u2019est pour cette raison que nous avons peu de donn\u00e9es fiables sur les attaques r\u00e9ussies. Pourtant, lors de l\u2019\u00e9dition 2020 du Remote Chaos Communication Congress<\/em> (RC3), une \u00e9quipe de chercheurs a pr\u00e9sent\u00e9 une m\u00e9thode plut\u00f4t curieuse d\u2019analyse des campagnes cybercriminelles, du d\u00e9but \u00e0 la fin, qui repose sur l\u2019empreinte des cryptomonnaies.<\/p>\n

Les analystes des universit\u00e9s de Princeton, de New York et de San Diego (Californie) ainsi que les employ\u00e9s de Google et de Chainalysis ont r\u00e9alis\u00e9 cette \u00e9tude en 2016 et 2017. Quelques ann\u00e9es se sont \u00e9coul\u00e9es mais leur m\u00e9thode reste applicable.<\/p>\n

M\u00e9thode de recherche<\/h2>\n

Les escrocs craignent que l\u2019argent ne laisse des traces et c\u2019est pourquoi les cybercriminels modernes pr\u00e9f\u00e8rent utiliser les cryptomonnaies (surtout Bitcoin) puisqu\u2019elles ne sont pas vraiment r\u00e9glement\u00e9es et qu\u2019elles garantissent l\u2019anonymat. De plus, tout le monde a acc\u00e8s aux cryptomonnaies et les transactions effectu\u00e9es ne peuvent pas \u00eatre annul\u00e9es.<\/p>\n

Pourtant, une autre caract\u00e9ristique pertinente de Bitcoin entre en jeu : toutes les transactions Bitcoin sont publiques. Cela signifie qu\u2019il est possible de suivre les flux financiers et d\u2019avoir un aper\u00e7u de l\u2019\u00e9tendue des m\u00e9canismes internes de l\u2019\u00e9conomie cybercriminelle. D\u2019ailleurs, c\u2019est exactement ce que les chercheurs ont fait.<\/p>\n

Certains escrocs, mais pas tous, g\u00e9n\u00e8rent une adresse de portefeuille BTC unique pour chaque victime, donc les chercheurs ont d\u2019abord r\u00e9cup\u00e9r\u00e9 les portefeuilles cr\u00e9\u00e9s pour recevoir les paiements de ran\u00e7on. Ils ont trouv\u00e9 certaines adresses dans des messages publics qui parlaient de l\u2019infection (plusieurs victimes ont partag\u00e9 des captures d\u2019\u00e9cran de la demande de ran\u00e7on en ligne) et ils en ont obtenu d\u2019autres en lan\u00e7ant le ransomware sur des machines tests.<\/p>\n

Ensuite, les chercheurs ont suivi la trace de la cryptomonnaie apr\u00e8s que la somme ait \u00e9t\u00e9 transf\u00e9r\u00e9e vers le portefeuille ce qui, dans certains cas, oblige les escrocs \u00e0 effectuer des micro-paiements de Bitcoin vers leurs comptes. Le soutien de Bitcoin au co-spending, au moyen duquel les fonds de plusieurs portefeuilles sont vir\u00e9s sur un seul, permet aux cybercriminels de fusionner les paiements de ran\u00e7on de plusieurs victimes. Une telle op\u00e9ration exige que la t\u00eate pensante ait les cl\u00e9s de plusieurs portefeuilles<\/a>. Par cons\u00e9quent, c\u2019est le suivi de ces op\u00e9rations qui permet d\u2019\u00e9tendre la liste des victimes et de trouver en m\u00eame temps l\u2019adresse du portefeuille central vers lequel les fonds sont transf\u00e9r\u00e9s.<\/p>\n

Apr\u00e8s avoir \u00e9tudi\u00e9 les flux financiers entre les portefeuilles pendant deux ans, les chercheurs ont pu se faire une id\u00e9e des revenus des cybercriminels et des m\u00e9thodes qu\u2019ils utilisent pour blanchir leur argent.<\/p>\n

Principales conclusions<\/h2>\n

La principale d\u00e9couverte des chercheurs est, qu\u2019en l\u2019espace de deux ans, 19 750 victimes ont transf\u00e9r\u00e9 pr\u00e8s de 16 millions de dollars aux op\u00e9rateurs des cinq types de ransomwares les plus courants. Il est vrai que ce chiffre n\u2019est pas tout \u00e0 fait exact (il est peu probable qu\u2019ils aient pu remonter toutes les transactions) mais il donne une estimation approximative de l\u2019ampleur de l\u2019activit\u00e9 des cybercriminels quelques ann\u00e9es auparavant.<\/p>\n

Il est int\u00e9ressant de noter que pr\u00e8s de 90 % des revenus proviennent des familles Locky<\/a> et Cerber<\/a>, les deux menaces de ransomware les plus actives \u00e0 l\u2019\u00e9poque. De plus, le malware tristement c\u00e9l\u00e8bre WannaCry<\/a> n\u2019a rapport\u00e9 que quelques centaines de milliers de dollars, m\u00eame si de nombreux experts disent que ce malware est un wiper, et non un ransomware.<\/p>\n

\"Estimation

Estimation des revenus des cr\u00e9ateurs des ransomwares les plus r\u00e9pandus en 2016-2017. Source<\/a><\/p><\/div>\n

L\u2019aspect le plus int\u00e9ressant est d\u2019avoir cherch\u00e9 \u00e0 savoir combien d\u2019argent les cybercriminels ont utilis\u00e9 et comment ils y ont eu acc\u00e8s. Pour ce faire, les chercheurs ont utilis\u00e9 la m\u00eame m\u00e9thode d\u2019analyse des transactions pour voir quels portefeuilles des cybercriminels sont apparus dans des transactions jointes impliquant les portefeuilles connus des services en ligne de monnaie d\u2019\u00e9change num\u00e9rique. Cette technique ne permet pas de suivre tous les paiements mais elle a tout de m\u00eame permis de constater que les cybercriminels ont g\u00e9n\u00e9ralement retir\u00e9 l\u2019argent en passant par BTC-e.com et BitMixer.io. Les autorit\u00e9s ont ferm\u00e9 ces deux plateformes d\u2019\u00e9change pour, comme vous l\u2019avez certainement devin\u00e9, blanchiment d\u2019argent.<\/p>\n

Malheureusement, la vid\u00e9o de l\u2019intervention de l\u2019\u00e9quipe n\u2019est pas disponible sur le site de RC3 mais vous pouvez lire la totalit\u00e9 du rapport ici<\/a>.<\/p>\n

Comment se prot\u00e9ger des ransomwares<\/h2>\n

Les profits exceptionnels obtenus gr\u00e2ce aux ransomwares ont pouss\u00e9 les cybercriminels \u00e0 adopter un comportement encore plus imp\u00e9tueux. Un jour ils se pr\u00e9sentent comme les Robin des Bois des temps modernes en investissant dans des \u0153uvres de charit\u00e9<\/a> et le lendemain ils lancent une campagne publicitaire<\/a> pour harceler encore plus les victimes. Dans cette \u00e9tude, les chercheurs ont essay\u00e9 de localiser les points de pression qui pourraient interrompre les flux financiers et semer le doute dans l\u2019esprit des cybercriminels quant \u00e0 la rentabilit\u00e9 du nouveau ransomware.<\/p>\n

La seule m\u00e9thode vraiment efficace pour lutter contre la cybercriminalit\u00e9 consiste \u00e0 emp\u00eacher l\u2019infection. Ainsi, nous vous conseillons de suivre de pr\u00e8s les conseils suivants :<\/p>\n