Plus tôt en mai, Colonial Pipeline a été victime d'une attaque par ransomware très médiatisée qui a entraîné la mise hors service de certaines parties de son infrastructure et provoqué des perturbations de l'approvisionnement en essence et en kérosène sur la côte Est des États-Unis. La société a entrepris de signaler très tôt au FBI que des cybercriminels avaient accédé à son réseau informatique et qu'une rançon d’environ 75 bitcoins avait été payée. Un mois après l’attaque, le ministère américain de la Justice a déclaré lundi avoir récupéré 63,7 des 75 bitcoins que Colonial Pipeline avait versés à DarkSide, un syndicat russophone de ransomware-as-a-service. Une opération de tracking et une "clé privée" dont dispose le FBI auraient aidé dans la réussite de la saisie.Le 7 mai, le gang de ransomware DarkSide a lancé son attaque contre Colonial, qui a finalement payé environ 4,4 millions de dollars à ses bourreaux. La société a déclaré que les attaquants n'avaient touché que ses réseaux informatiques professionnels, et non les systèmes de sécurité et de sûreté de ses pipelines, mais qu'elle avait quand même fermé le pipeline par précaution. Le 14 mai, le représentant de DarkSide a publié sur plusieurs forums de cybercriminalité en langue russe un message indiquant que le groupe mettait fin à ses activités, ajoutant que ses serveurs Internet et sa réserve de cryptomonnaies avaient été saisis par des entités d'application de la loi inconnues.
Le communiqué du DoJ de lundi est conforme aux déclarations faites par Darkside, alors que le FBI a pu saisir 2,3 millions de dollars versés aux auteurs du ransomware grâce à des efforts coordonnés par l'intermédiaire de la Ransomware and Digital Extortion Task Force du ministère, qui a été créée pour lutter contre le nombre croissant d'attaques par ransomware et extorsion numérique.
La somme récupérée représente environ la moitié des 4,4 millions de dollars que Colonial Pipeline a versés aux membres du groupe de cybercriminels, a déclaré le PDG de la société dans une interview le mois dernier. L'outil de déchiffrement de DarkSide était largement connu pour être lent et inefficace, mais Colonial a tout de même payé la rançon. Dans l'interview, le PDG Joseph Blount a confirmé que les lacunes de l'outil ont empêché la société de l'utiliser et qu'elle a dû reconstruire son réseau par d'autres moyens.
Toutefois, cette saisie est remarquable, car c'est l'une des rares fois où une victime de ransomware a récupéré les fonds qu'elle avait versés à son agresseur. Les responsables du ministère de la Justice comptent sur cette réussite pour supprimer l'une des principales motivations des attaques par ransomware, à savoir les millions de dollars que les attaquants peuvent gagner.
« Aujourd'hui, nous avons privé une entreprise cybercriminelle de l'objet de son activité, de son produit financier et de son financement », a déclaré le directeur adjoint du FBI, Paul M. Abbate, lors d'une conférence de presse. « Pour les cybercriminels motivés financièrement, en particulier ceux qui sont vraisemblablement situés à l'étranger, couper l'accès aux revenus est l'une des conséquences les plus importantes que nous puissions imposer ».
Colonial avait pris des mesures précoces pour informer le FBI et suivi des instructions qui ont aidé les enquêteurs à suivre le paiement jusqu'à un portefeuille de cryptomonnaies utilisé par les pirates, que l'administration Biden pense être située en Russie. Le mandat de saisie a été autorisé plus tôt lundi par le juge d'instance pour le District Nord de la Californie, Laurel Beeler.
« Suivre l'argent reste l'un des outils les plus basiques, mais les plus puissants, dont nous disposons », a déclaré lundi Lisa Monaco, procureur général adjoint, lors de l'annonce du DoJ. « Les paiements de rançon sont le carburant qui propulse le moteur de l'extorsion numérique, et l'annonce d'aujourd'hui démontre que les États-Unis utiliseront tous les outils disponibles pour rendre ces attaques plus coûteuses et moins rentables pour les entreprises criminelles ».
« Les extorqueurs ne verront jamais cet argent », a déclaré Stephanie Hinds, procureur américain par intérim pour le District Nord de la Californie, lors de la conférence de presse au ministère de la Justice lundi. « Les nouvelles technologies financières qui tentent d'anonymiser les paiements ne fourniront pas un rideau derrière lequel les criminels seront autorisés à faire les poches des Américains qui travaillent dur ».
Une "clé privée" ou mot de passe dont dispose le FBI a aidé à la saisie des bitcoins
« Comme l'indique la déclaration sous serment, en examinant le grand livre public de Bitcoin, les forces de l'ordre ont pu suivre de multiples transferts de bitcoins et identifier qu'environ 63,7 bitcoins, représentant le produit du paiement de la rançon par la victime, avaient été transférés à une adresse spécifique, pour laquelle le FBI possède la "clé privée", ou l'équivalent approximatif d'un mot de passe nécessaire pour accéder aux actifs accessibles à partir de l'adresse Bitcoin spécifique. Ces bitcoins représentent le produit d'une intrusion informatique et des biens impliqués dans le blanchiment d'argent et peuvent être saisis en vertu des lois sur la confiscation pénale et civile », lit-on dans le communiqué publié lundi par le DoJ.
De précédents rapports ont fait savoir que les responsables américains recherchaient toutes les failles possibles dans la sécurité opérationnelle ou personnelle des pirates informatiques afin d'identifier les acteurs responsables. Les autorités auraient surveillé spécifiquement toute piste qui pourrait émerger de la façon dont ils déplacent leur argent. Dans une interview la semaine dernière, le directeur du FBI, Christopher Wray, a déclaré que la coordination entre les victimes de ransomware et les forces de l'ordre peut, dans certains cas, donner des résultats positifs pour les deux parties.
« Je ne veux pas suggérer que c'est la norme, mais il y a eu des cas où nous avons même été en mesure de travailler avec nos partenaires pour identifier les clés de chiffrement, ce qui permettrait ensuite à une entreprise de réellement déverrouiller ses données – même sans payer la rançon », a-t-il déclaré.
Selon Blount, sa société a fait ce qu’il fallait au bon moment, selon une déclaration publiée à la suite de l'annonce du DoJ.
« Lorsque Colonial a été attaqué le 7 mai, nous avons discrètement et rapidement contacté les bureaux locaux du FBI à Atlanta et San Francisco, ainsi que les procureurs de Californie du Nord et de Washington D.C. pour partager avec eux ce que nous savions à ce moment-là. Le ministère de la Justice et le FBI ont joué un rôle déterminant en nous aidant à comprendre les acteurs de la menace et leurs tactiques. Leurs efforts pour tenir ces criminels responsables et les traduire en justice sont louables », a déclaré Blount.
À la suite de l'attaque contre son entreprise, Blount avait déclaré qu'il aimerait que le gouvernement américain s'attaque aux pirates informatiques qui ont trouvé refuge en Russie. « En fin de compte, le gouvernement doit se concentrer sur les acteurs eux-mêmes. En tant qu'entreprise privée, nous n'avons pas la capacité politique de fermer les pays hôtes qui abritent ces mauvais acteurs ».
La semaine dernière, le ministère de la Justice a indiqué qu'il prévoyait de coordonner ses efforts de lutte contre les rançongiciels avec les mêmes protocoles que pour le terrorisme, à la suite d'une série de cyberattaques qui ont perturbé des secteurs d'infrastructure clé allant de la distribution d'essence à l'emballage de la viande. Cette dernière attaque par ransomware a renforcé la détermination de l'administration Biden à tenir Moscou responsable des cyberattaques coûteuses.
Dimanche, la secrétaire d'État à l'énergie, Jennifer Granholm, a prévenu que des « acteurs très malveillants » avaient les États-Unis dans leur ligne de mire après des attaques contre un oléoduc, des agences gouvernementales, un système d'approvisionnement en eau en Floride, des écoles, des établissements de soins de santé et, même la semaine dernière, l'industrie de la viande et un service de ferry.
Les cryptomonnaies sous le feu des projecteurs, alors que les autorités américaines luttent contre les attaques par ransomware
L'administration Biden s'est concentrée sur l'architecture moins réglementée des paiements en cryptomonnaies, qui permet un plus grand anonymat, alors qu'elle intensifie ses efforts pour perturber les attaques croissantes et de plus en plus destructrices de ransomware.
« L'utilisation abusive des cryptomonnaies est un facteur d'encouragement massif », a déclaré Anne Neuberger, conseillère adjointe à la sécurité nationale. « C'est ainsi que les gens en tirent de l'argent. Avec la montée de l'anonymat et l'amélioration des cryptomonnaies, la montée des services de mélange qui blanchissent essentiellement des fonds ».
L'effort de suivi est vaste, couvrant non seulement la poursuite par le DoJ des criminels de ransomware eux-mêmes, mais aussi les outils de cryptomonnaie qu'ils utilisent pour recevoir des paiements, les réseaux informatiques automatisés qui diffusent les ransomwares et les marchés en ligne utilisés pour faire de la publicité ou vendre des logiciels malveillants.
Les représentants du ministère de la Justice n'ont pas donné beaucoup de détails sur comment ils ont obtenu les bitcoins, si ce n'est qu'ils les ont saisis dans un portefeuille de bitcoins par le biais de documents judiciaires déposés dans le District Nord de la Californie. Si le FBI dispose réellement d'un moyen d'infiltrer les portefeuilles bitcoin et de récupérer leur contenu, il gardera certainement les détails de sa méthodologie très secrets. Bien sûr, cela signifie que les sociétés de ransomware vont rapidement se mettre à n'autoriser le paiement de la rançon que par des monnaies comme le monero.
Le succès des forces de l'ordre intensifie les spéculations selon lesquelles Colonial Pipeline aurait payé la rançon non pas pour avoir accès à un outil de déchiffrage qu'elle savait bogué, mais plutôt pour aider le FBI à suivre DarkSide et son mécanisme d'obtention et de blanchiment des rançons. Au cours de la conférence de lundi, les représentants du ministère de la Justice ont déclaré avoir retrouvé la trace de 90 victimes qui ont été touchées par DarkSide.
Source : Communiqué du DoJ
Et vous ?
Quel commentaire faites-vous de l’opération du FBI pour saisir de la rançon payée par Coloniale ? Le FBI dit avoir été aidé par la "clé privée" d’une adresse spécifique où les bitcoins avaient été transférés. Qu’en pensez-vous ? Le FBI possède-t-il un moyen secret d'infiltrer les portefeuilles bitcoin et de récupérer leur contenu, selon vous ? Voir aussi :
Des pirates informatiques auraient accédé au réseau de Colonial Pipeline en utilisant un mot de passe compromis, obtenu potentiellement sur le dark web Les USA vont désormais traiter les attaques aux rançongiciels avec la même priorité que les cas de terrorisme, en leur appliquant pour la première fois le même modèle d'investigation Colonial Pipeline cherchait à embaucher un responsable de la cybersécurité, avant que l'attaque par ransomware ne bloque ses activités Les pirates informatiques obligent Joe Biden à adopter une position plus agressive à l'égard de la Russie, suite au piratage du géant agroalimentaire JBS 
Envoyé par Stan Adkens
