211service.com
L'ampleur réelle de l'extorsion de rançongiciel Bitcoin révélée
Les rançongiciels sont l'un des types de logiciels malveillants les plus inquiétants qui ont émergé ces dernières années. Il fonctionne en limitant l'accès aux fichiers informatiques jusqu'au paiement d'une rançon. Parmi les victimes figurent le National Health Service britannique, la société de télécommunications espagnole Telefonica, le géant pétrolier russe Rosneft et bien d'autres.
Les victimes sont généralement tenues de payer une rançon Bitcoin équivalente à quelques centaines de dollars pour libérer leurs fichiers. En règle générale, la rançon augmente avec le temps jusqu'à une date limite à laquelle les fichiers sont censés être détruits. De nombreuses entreprises et particuliers n'ont eu d'autre choix que de payer.
Et cela soulève une question intéressante. Combien d'argent les programmes rançongiciels Bitcoin ont-ils générés pour leurs maîtres malveillants ?

Valeur en dollars américains des rançons versées aux comptes CryptoWall Bitcoin
Aujourd'hui, nous obtenons une réponse grâce au travail de Mauro Conti de l'Université de Padoue en Italie et de quelques collègues. Ces gars-là ont créé une base de données de comptes Bitcoin utilisés par les criminels rançongiciels et ont additionné les rançons qui leur ont été versées. Le résultat est une analyse complète des gains réalisés par les cybercriminels dans ce domaine émergent de la criminalité.
Alors que les rançongiciels peuvent demander un paiement en nature, Conti et co se concentrent uniquement sur ceux qui demandent des paiements en Bitcoin. En effet, les transactions Bitcoin sont ouvertement enregistrées et consultables gratuitement. Donc, en principe, il devrait être possible de déterminer exactement combien chaque compte reçoit. Notre objectif était de mesurer avec précision la valeur en USD de ces paiements, explique Conti and co.
L'équipe a commencé par créer une base de données de comptes Bitcoin associés à ce genre d'activité depuis 2013, lorsque le rançongiciel Cryptolocker est devenu le premier à demander un paiement en Bitcoin. Nous avons trouvé vingt ransomwares qui remplissaient nos critères de sélection, c'est-à-dire les ransomwares : (i) qui utilisaient Bitcoin comme au moins un mode de paiement de la rançon, et (ii) pour lesquels au moins une adresse Bitcoin est publiquement connue, expliquent-ils.
Pour chaque espèce de logiciel malveillant, ils fournissent un aperçu utile de son fonctionnement et de sa propagation, ainsi que de son évolution au fil du temps.
Tous les paiements sur ces comptes ne sont pas nécessairement des rançons. Conti et co ont donc développé un moyen de distinguer les paiements de rançon des autres types. Pour ce faire, ils recherchent des paiements correspondant aux montants spécifiques que le logiciel malveillant demande en rançon.
Enfin, Conti et co additionnent tous les paiements de rançon reçus par chaque type de malware. Leur travail révèle les rançongiciels les plus rentables mais soulève également des questions sur la façon dont ces comptes sont utilisés et comment ils peuvent être suivis.
La forme de rançongiciel de loin la plus rentable s'avère être CryptoWall, qui a commencé à infecter les ordinateurs Windows en novembre 2013. Il a crypté les fichiers à l'aide de l'algorithme de cryptage RSA-2048, puis a exigé un paiement pouvant atteindre 1 400 $ pour les libérer.
Le logiciel malveillant s'est propagé par divers vecteurs, tels que les liens de téléchargement envoyés par le botnet de spam Cutwail. Certaines versions du logiciel malveillant créaient une adresse de paiement Bitcoin unique pour chaque utilisateur infecté et utilisaient le système Tor darknet pour fournir des liens anonymes à chaque victime.
Entre sa sortie et décembre 2015, les adresses Bitcoin associées à ce logiciel malveillant ont reçu 2,2 millions de dollars en paiements Bitcoin et 2,3 millions de dollars supplémentaires en transactions de plus grande valeur, ce que Conti et co soupçonnent d'être également des paiements de rançon.
Curieusement, la valeur totale des paiements reçus par ces adresses Bitcoin était de plus de 45 millions de dollars. La plupart de ces transactions n'étaient pas directement liées par Conti and co au montant des rançons. C'est une somme d'argent importante et soulève la question évidente de savoir à quoi il servait.
Le classement complet des projets de rançongiciel Bitcoin selon le montant en dollars américains qu'ils ont généré est le suivant :
La rançon de Ransomware Bitcoin a reçu une valeur en USD
CryptoWall 5 351,2329 2 220 909,12
CryptoLocker 1403,7548 449 274,97
Casier DMA 339,4591 178 162,77
WannaCry 47,1743 86 076,76
CryptoDéfense 126,6960 63 859,49
NotPetya 4,0576 9 835,86
KeRanger 9999 4 173,12
Fait intéressant, l'épidémie de WannaCry a reçu une énorme couverture médiatique car le malware s'est largement répandu. Mais l'attaque a été déjouée par le chercheur en cybersécurité Marcus Hutchins, qui a découvert et activé un kill switch intégré qui empêchait le malware d'être plus destructeur.
L'impact global (y compris les pertes financières) dû à l'infection WannaCry aurait pu être pire... grâce à la détection précoce du kill switch, qui a empêché les ordinateurs infectés de propager WannaCry davantage, disent Conti et co.
L'équipe discute également d'autres formes de logiciels malveillants qui ont demandé mais ne semblent pas avoir reçu de rançons substantielles. Ceux-ci incluent TeslaCrypt, Hi Buddy! et KillDisk.
Divers autres groupes ont effectué des analyses similaires et sont arrivés à des conclusions similaires. Cependant, Conte et co rendent leur ensemble de données accessible au public afin que d'autres puissent s'en inspirer. L'ensemble de données contient un historique détaillé des transactions de toutes les adresses que nous avons identifiées pour chaque rançongiciel, disent-ils.
Les cybercriminels utilisent Bitcoin car il offre un moyen apparemment anonyme de collecter et d'effectuer des paiements. Cependant, Bitcoin est pseudonyme plutôt qu'anonyme. Cela signifie que les utilisateurs peuvent protéger leur identité à condition qu'aucune de leurs transactions ne puisse être liée à leur véritable identité. Mais dès qu'une seule transaction est liée à leurs données d'identification personnelles, toutes leurs transactions sont liées de la même manière.
Une analogie utile est celle des auteurs qui publient sous un pseudonyme. Tant que l'identité de l'auteur n'est jamais liée à aucun des articles pseudonymes, il ou elle reste anonyme. Mais s'il est lié à un seul article pseudonyme, il est lié à tous, et l'anonymat est alors perdu.
La protection pseudonyme est donc une chose fragile. Une seule transaction qui relie un compte Bitcoin à un compte personnel peut révéler l'identité d'un cybercriminel. Et les données personnelles fuient tout le temps dans les transactions sur le Web.
L'année dernière, nous avons écrit sur les imperfections de l'anonymat des transactions Bitcoin. Cela devrait donner un certain espoir de traquer ces criminels.
Conti et co ont fixé ce type d'enquête comme un objectif futur. Nous tenterons de retracer comment les rançons reçues ont été utilisées et par qui, disent-ils.
C'est courageux et ambitieux. Mais cela soulève également une question : que font les forces de l'ordre en attendant ?
Réf : arxiv.org/abs/1804.01341 : Sur l'importance économique des campagnes de ransomwares : une perspective des transactions Bitcoin