Ransomware : les États-Unis récupèrent des millions de crypto-monnaie payés aux pirates de Colonial Pipeline
L’annonce confirme les rapports antérieurs de CNN sur l’opération dirigée par le FBI, qui a été menée avec la coopération de Colonial Pipeline, la société qui a été victime de l’attaque de ransomware en question.
Plus précisément, le ministère de la Justice a déclaré avoir saisi environ 2,3 millions de dollars en Bitcoins versés à des individus appartenant à un groupe de piratage criminel connu sous le nom de DarkSide. Le FBI a déclaré qu’il enquêtait sur DarkSide, qui partagerait ses outils malveillants avec d’autres pirates informatiques, depuis plus d’un an.
Mais dans les coulisses, la société avait pris des mesures précoces pour informer le FBI et suivi les instructions qui ont aidé les enquêteurs à suivre le paiement sur un portefeuille de crypto-monnaie utilisé par les pirates, qui serait basé en Russie.
« Suivre l’argent reste l’un des outils les plus basiques, mais les plus puissants dont nous disposons », a déclaré lundi la procureure générale adjointe Lisa Monaco lors de l’annonce du DOJ, qui faisait suite au reportage de CNN sur l’opération de récupération. « Les paiements de rançon sont le carburant qui propulse le moteur d’extorsion numérique, et l’annonce d’aujourd’hui démontre que les États-Unis utiliseront tous les outils disponibles pour rendre ces attaques plus coûteuses et moins rentables pour les entreprises criminelles. »
Le mandat de saisie a été autorisé par le bureau du procureur des États-Unis pour le district nord de la Californie.
« Les extorqueurs ne verront jamais cet argent », a déclaré lundi la procureure américaine par intérim Stephanie Hinds pour le district nord de la Californie lors d’une conférence de presse au ministère de la Justice. « Les nouvelles technologies financières qui tentent d’anonymiser les paiements ne fourniront pas un rideau derrière lequel les criminels seront autorisés à puiser dans les poches des Américains qui travaillent dur. »
Blount a publié une déclaration à la suite de l’annonce du DOJ.
« Lorsque Colonial a été attaqué le 7 mai, nous avons discrètement et rapidement contacté les bureaux locaux du FBI à Atlanta et San Francisco, et les procureurs de Californie du Nord et de Washington DC pour partager avec eux ce que nous savions à l’époque. Le ministère de la Justice et le FBI ont contribué à nous aider à comprendre l’acteur menaçant et ses tactiques. Leurs efforts pour tenir ces criminels responsables et les traduire en justice sont louables », a déclaré Blount.
CNN avait précédemment rapporté que des responsables américains recherchaient d’éventuelles failles dans la sécurité opérationnelle ou personnelle des pirates afin d’identifier les acteurs responsables – en particulier en surveillant les pistes qui pourraient émerger de la façon dont ils déplacent leur argent, l’un des ont déclaré des sources proches de l’effort.
« Je ne veux pas suggérer que c’est la norme, mais il y a eu des cas où nous avons même pu travailler avec nos partenaires pour identifier les clés de cryptage, ce qui permettrait ensuite à une entreprise de déverrouiller réellement ses données – même sans payer la rançon », a-t-il déclaré.
« L’utilisation abusive de la crypto-monnaie est un formidable catalyseur »
L’administration Biden s’est concentrée sur l’architecture moins réglementée des paiements par crypto-monnaie, ce qui permet un plus grand anonymat alors qu’elle intensifie ses efforts pour perturber les attaques de ransomware croissantes et de plus en plus destructrices, à la suite de deux incidents majeurs sur des infrastructures critiques.
« L’utilisation abusive de la crypto-monnaie est un catalyseur énorme ici », a déclaré à CNN Anne Neuberger, conseillère adjointe à la sécurité nationale. « C’est ainsi que les gens en retirent de l’argent. Avec la montée de l’anonymat et l’amélioration des crypto-monnaies, la montée des services de mixage qui blanchissent essentiellement des fonds. »
« Les entreprises individuelles se sentent sous pression – en particulier si elles n’ont pas fait le travail de cybersécurité – pour payer la rançon et passer à autre chose », a ajouté Neuberger. « Mais à long terme, c’est ce qui motive la rançon en cours [attacks]. Plus les gens sont payés, plus cela génère des rançons de plus en plus importantes et de plus en plus de perturbations potentielles. »
Bien que l’administration Biden ait clairement indiqué qu’elle avait besoin de l’aide d’entreprises privées pour endiguer la récente vague d’attaques de ransomware, les agences fédérales maintiennent certaines capacités qui dépassent de loin ce que les partenaires de l’industrie peuvent faire par eux-mêmes et sont aptes à retracer la devise utilisée pour payer les groupes de ransomware. , CNN a précédemment rapporté.
Mais la capacité du gouvernement à le faire efficacement en réponse à une attaque de ransomware est très « dépendante de la situation », ont déclaré deux sources la semaine dernière.
L’une des sources a noté qu’aider à récupérer l’argent versé aux acteurs des ransomwares est certainement un domaine dans lequel le gouvernement américain peut fournir une assistance, mais le succès varie considérablement et dépend en grande partie du fait qu’il existe des failles dans le système des attaquants qui peuvent être identifiées et exploitées.
Dans certains cas, les responsables américains peuvent trouver les opérateurs de ransomware et « posséder » leur réseau dans les heures suivant une attaque, a expliqué l’une des sources, notant que cela permet aux agences compétentes de surveiller les communications de l’acteur et potentiellement d’identifier d’autres acteurs clés du groupe responsable.
Lorsque les acteurs des ransomwares sont plus prudents avec leur sécurité opérationnelle, y compris dans la façon dont ils déplacent de l’argent, perturber leurs réseaux ou tracer la devise devient plus compliqué, ont ajouté les sources.
« C’est vraiment un sac mélangé », ont-ils déclaré à CNN, se référant aux divers degrés de sophistication démontrés par les groupes impliqués dans ces attaques.
CNN a précédemment signalé qu’il y avait des indications que les acteurs individuels qui ont attaqué Colonial, en collaboration avec DarkSide, pourraient avoir été des pirates informatiques inexpérimentés ou novices, plutôt que des professionnels chevronnés, selon trois sources proches de l’enquête Colonial.
L’une des sources a également mis en garde contre le fait d’accorder trop d’importance aux actions du gouvernement américain, déclarant à CNN que les circonstances uniques de chaque attaque et le niveau de détail nécessaire pour prendre des mesures efficaces contre ces groupes font partie de la raison pour laquelle il n’y a « pas de solution miracle » lorsque il s’agit de contrer les attaques de ransomware.
« Il faudra des défenses améliorées, briser la rentabilité des ransomwares et des actions dirigées sur les attaquants pour arrêter cela », a ajouté la source, précisant que perturber et tracer les paiements en crypto-monnaie n’est qu’une partie de l’équation.
Ce sentiment a été repris par les experts en cybersécurité qui conviennent que les acteurs des ransomwares utilisent la crypto-monnaie pour blanchir leurs transactions.
« À l’ère du Bitcoin, blanchir de l’argent est quelque chose que tout nerd peut faire. Vous n’avez plus besoin d’un grand appareil du crime organisé », selon Alex Stamos, ancien responsable de la sécurité de Facebook, co-fondateur du groupe Krebs Stamos.
« La seule façon pour nous de pouvoir riposter contre cela en tant que société entière est de le rendre illégal … Je pense que nous devons interdire les paiements », a-t-il ajouté. « Cela va être vraiment difficile. Les premières entreprises à être touchées une fois qu’il est illégal de payer, elles vont être dans une situation très difficile. Et nous allons voir beaucoup de douleur et de souffrance. »
« Ça arrive tout le temps »
Ces dernières semaines, les cybercriminels ont de plus en plus ciblé les organisations qui jouent un rôle essentiel dans de larges pans de l’économie américaine. Les retombées de ces attaques montrent comment les pirates informatiques provoquent désormais le chaos pour les Américains ordinaires à un rythme et à une échelle sans précédent.
« Au moment même où nous parlons, il y a des milliers d’attaques contre tous les aspects du secteur de l’énergie et du secteur privé en général … cela se produit tout le temps », a déclaré Granholm à Jake Tapper de CNN sur « L’état de l’Union ».
Le procureur général adjoint Lisa Monaco a publié une note interne enjoignant aux procureurs américains de signaler toutes les enquêtes sur les ransomwares sur lesquelles ils pourraient travailler, dans le but de mieux coordonner le suivi des criminels en ligne par le gouvernement américain.
La note cite un ransomware – un logiciel malveillant qui prend le contrôle d’un ordinateur jusqu’à ce que la victime paie des frais – comme une menace urgente pour les intérêts de la nation.
« Nous devons améliorer et centraliser notre suivi interne des enquêtes et des poursuites contre les groupes de rançongiciels et l’infrastructure et les réseaux qui permettent à ces menaces de persister », a écrit Monaco.
L’effort de suivi est vaste, couvrant non seulement la poursuite par le DOJ des criminels de ransomware eux-mêmes, mais également les outils de crypto-monnaie qu’ils utilisent pour recevoir des paiements, les réseaux informatiques automatisés qui diffusent les ransomwares et les marchés en ligne utilisés pour faire de la publicité ou vendre des logiciels malveillants.
La directive du DOJ exige que les bureaux des avocats américains déposent des rapports internes sur chaque nouvel incident de ransomware dont ils entendent parler.
Christina Carrega, Brian Fung et Geneva Sands de CNN ont contribué au reportage.