Ce que la blockchain nous apprend sur le grand business des ransomwares

Ci-dessus : Illustration de Seamartini/DepositPhotos.

Shiva Bissessar et Javed Samuel de Pinaka Consulting Limited évaluent le régime de paiement blockchain-crypto-monnaie qui alimente les paiements par ransomware. Republié avec leur autorisation. Pinaka Consulting est un cabinet de conseil basé sur la sécurité de l’information, spécialisé dans la monnaie numérique, la blockchain et la monnaie numérique de la banque centrale (CBDC).

Qu’ont en commun les entités suivantes ? ANSA McAL, Massy Group, Beacon Insurance, Bureau du procureur général de Trinité-et-Tobago et Services de télécommunications de Trinité-et-Tobago (TSTT) ? Depuis 2020, ils ont tous été victimes d’un cyberincident qui a eu un impact sur leur prestation de services. Au moins trois de ces entités ont confirmé que leur incident était lié à un ransomware.

Dans l’article de janvier 2023 intitulé « An Anatomy Of Crypto-Enabled Cybercrimes », Cong et al. fournissent des informations clés sur de telles attaques et citent des sources qui estiment que les dommages mondiaux causés par les attaques de ransomware atteindront 30 milliards de dollars d’ici 2023 (https://wp. lancs.ac.uk/finec2023/files/2023/01/FEC-2023-017-Daniel-Rabetti.pdf). Nous utilisons cette source et d’autres, couplées à nos propres connaissances en utilisant un outil d’analyse de blockchain commerciale d’Elliptic, pour présenter une introduction aux ransomwares et des informations sur l’activité économique associée à de telles attaques.

Étapes d’attaque

Les groupes qui mènent des attaques de ransomware suivent un modèle de comportement défini, donc connaître leur identité indiquerait leurs méthodes aux différentes étapes d’une attaque. Cela révélerait également, par exemple, les types d’outils qu’ils utilisent pour obtenir un accès initial au réseau externe puis au réseau interne, se déplacer latéralement dans le réseau interne, élever les privilèges au sein du réseau interne, analyser l’infrastructure du réseau interne et exfiltrer les données.

Une fois ces étapes exécutées, l’attaquant crypte les fichiers des victimes à l’aide d’une clé connue d’eux seuls, rendant ces fichiers effectivement inutiles car ils ne peuvent plus être lus par les systèmes de la victime. Les attaquants tentent ensuite d’extorquer de la valeur à la victime en échange de l’accès à un outil qui peut être utilisé pour décrypter les fichiers et les rendre à nouveau utiles. Ayant vu ses opérations rendues impossibles par la perte d’accès à des fichiers critiques, la victime est confrontée au choix de payer la rançon ou de tenter de restaurer ses systèmes d’information à partir de sauvegardes non infectées.

La menace de fuite de données

Cong et al. notent que depuis 2019, une nouvelle tendance de double extorsion est en jeu, dans laquelle l’attaquant peut exercer un effet de levier supplémentaire sur la victime en menaçant de divulguer des fichiers non cryptés sur le dark web. Au minimum, cela constituerait une source d’embarras et une atteinte à la réputation de la victime si la faille de sécurité était portée à la connaissance du public via une telle fuite. La confidentialité des données des employés, des clients et des fournisseurs de la chaîne d’approvisionnement pourrait être menacée si une telle exposition publique des données avait lieu.

Nous savons exactement à quoi cela ressemble à la suite du récent incident survenu à TSTT qui a été commis par le groupe RansomEXX, au cours duquel il y a eu un débat public ouvert sur le contenu du vidage de données avec les informations personnelles identifiables (PII) des clients de la victime. exposé. Les auteurs tiennent à souligner qu’une divulgation responsable de la part des professionnels qui traitent et rapportent ces données est attendue, de sorte que les victimes et leurs parties prenantes ne soient pas davantage lésées par le fait que les détails de leurs données soient ouvertement discutés dans des forums publics. Des méthodes visant à masquer les informations personnelles des victimes doivent être utilisées lors du signalement de tels incidents.

Demande de rançon et paiement éventuel

Le paiement est exigé en crypto-monnaie, telle que Bitcoin, étant donné qu’elle est facilement transférable sur Internet et évite les problèmes de change transfrontaliers. Des négociations peuvent être impliquées lorsqu’une équipe de réponse aux incidents est embauchée par la victime pour apporter son expertise et tenter de gagner du temps et de réduire le montant de la rançon demandée. La décision de payer appartient à la victime ; cependant, les listes de sanctions peuvent jouer un rôle dans le processus décisionnel. Dans le cas du groupe de ransomwares Conti, après avoir déclaré publiquement son allégeance à la Russie en 2022, après l’invasion de l’Ukraine, les paiements potentiels à Conti ont pris un caractère illicite étant donné le statut de sanction de la Russie. Finalement, Conti a dû fermer boutique, mais des filiales du groupe seraient toujours en activité.

Analyse de la blockchain dans les ransomwares

Une fois le paiement effectué, la victime devrait recevoir des outils de décryptage qu’elle pourra utiliser pour décrypter ses fichiers cryptés ; cependant, cela n’est pas garanti. Des fuites qui suivent les attaques de ransomwares, nous pouvons déduire que toutes les victimes ne paient pas. Lorsque le paiement a lieu, il est possible de suivre la trace de la crypto-monnaie jusqu’aux portefeuilles associés au groupe de ransomware et à ses affiliés.

Le FBI a pu utiliser l’analyse de la blockchain dans le cadre de son enquête pour retracer les 75 Bitcoins qui ont été payés à Darkside en 2021 et a finalement récupéré 63,7 Bitcoins, soit 2,3 millions de dollars. Ce paiement était lié à l’attaque du Colonial Pipeline qui a entraîné l’arrêt de 5 500 milles d’exploitation du pipeline, affectant finalement négativement les consommateurs de la côte est et provoquant la déclaration de l’état d’urgence dans plus de 17 États américains. Aux États-Unis, 45 % de l’exploitation des pipelines a été affectée.

REvil/Sodinokibi

En 2020, le groupe de ransomwares REvil/Sodinokibi a échappé aux mesures de sécurité appliquées par ANSA McAL, affectant les opérations à Trinité-et-Tobago et à la Barbade. À l’aide d’un outil commercial d’analyse de blockchain d’Elliptic, nous pouvons voir un groupe d’adresses de portefeuille sur le réseau Bitcoin associé à REvil/Sodinokibi, qui révèle une activité remontant à 2019, date de création du groupe.

Outil elliptique montrant 14 millions de dollars d’entrées et de sorties vers le groupe REvil depuis 2019

La valeur attribuée à ce groupe particulier de portefeuilles montre des entrées de 14 millions d’USD et des sorties de 13,9 millions d’USD depuis la première transaction en juin 2019 jusqu’à la dernière transaction en juin 2021. Cong et al attribuent 282 victimes au groupe REvil/Sodinokibi sur la période. De mai 2020 à juin 2021. Ils estiment en outre que la valeur totale en USD reçue par ce groupe, pour la période 2021 à 2022, les place au quatrième rang mondial en termes de groupes de ransomwares recevant une telle valeur. Sur la même période, le groupe Conti est numéro un, estimé à 50,9M USD.

Si nous examinons certaines des activités illicites identifiées dans l’outil Elliptic attribuables à REvil/Sodinokibi, nous pouvons mettre en évidence une transaction de 11 millions de dollars provenant d’une source inconnue qui a également eu une transaction simultanée mais beaucoup plus petite de 6,4 000 dollars avec Conti.

À l’échelle mondiale, les auteurs de ransomwares sont considérés comme une menace sérieuse pour les opérations reposant sur Internet. En novembre 2021, un effort international d’application de la loi, mené par 17 pays, dont INTERPOL, appelé Opération GoldDust, a abouti au démantèlement du groupe de ransomware REvil/Sodinokibi et de son infrastructure. Presque simultanément, le ministère américain de la Justice a décerné une récompense de 10 millions de dollars pour les informations conduisant à la capture des dirigeants de REvil/Sodinokibi.

Conclusion

Bien qu’apparemment disparu aujourd’hui, nous devrions nous inquiéter du fait que le quatrième plus grand groupe de ransomwares pour 2021 et 2022 ait exécuté une attaque contre un grand conglomérat des Caraïbes. Le nombre croissant de cyberincidents que nous constatons sur les grandes entités devrait nous amener à nous méfier de ce qui pourrait se produire dans les petites et moyennes entreprises. L’attaque la plus récente de RansomEXX sur TSTT est également source d’inquiétude car selon TrendMicro, ce groupe est connu pour cibler spécifiquement ses victimes ; la preuve de cette planification préalable est les noms des victimes trouvés codés en dur dans les fichiers binaires lors des analyses médico-légales post-attaque.

Ces préoccupations doivent être reconnues par les entreprises alors qu’elles préparent leur réponse au risque croissant de cyberincident. Disposer d’une fonction dédiée à la sécurité de l’information au sein de votre organisation, capable de prêter attention non seulement à la technologie, mais également aux dimensions des personnes et des processus, est une exigence. La sensibilisation doit être renforcée depuis la base jusqu’aux dirigeants et aux membres du conseil d’administration, car le premier accès à un réseau peut être un e-mail de phishing.

À la suite de l’incident du Colonial Pipeline, un décret a été publié aux États-Unis exigeant une plus grande attention à la cybersécurité nationale. Ces menaces seraient-elles reconnues localement au niveau national étant donné que ces attaques peuvent paralyser les infrastructures critiques ?

Est-ce que cela devrait être notre moment Colonial Pipeline ?