La saisie de la rançon du pipeline colonial est une victoire, mais ne vous détendez pas encore

La saisie de bitcoins d’une valeur d’environ 2,3 millions de dollars par les autorités américaines, qui ferait partie du paiement de la rançon effectué par l’opérateur d’infrastructures critiques Colonial Pipeline au gang de ransomware DarkSide le mois dernier, a suscité les éloges de la communauté cybernétique, mais rappelle également que les défenseurs ne peuvent pas nécessairement compter sur une telle chance.

Les fonds ont été saisis le lundi 7 juin en vertu d’un mandat délivré dans le district nord de Californie, et ont été l’aboutissement d’une enquête approfondie menée par le FBI sur l’attaque du 7 mai contre le pipeline colonial, ce qui a provoqué des achats paniques de carburant dans certaines régions des États-Unis.

Les Etats Unis département de la Justice (DoJ) a révélé qu’en examinant le grand livre public du bitcoin, le FBI a suivi plusieurs transferts de la crypto-monnaie et a constaté qu’environ 63,7 bitcoin (sur les 75 bitcoin rançon) ont été transférés à une adresse spécifique, pour laquelle le FBI a pu obtenir le clé privée pour y accéder.

Le DoJ a déclaré que le bitcoin représentait “un produit attribuable à une intrusion informatique et à des biens impliqués dans le blanchiment d’argent”, et pourrait donc être saisi en vertu de lois pénales et civiles sur la confiscation.

“Suivre l’argent reste l’un des outils les plus basiques mais les plus puissants dont nous disposons”, a déclaré la procureure générale adjointe du DoJ, Lisa Monaco. « Les paiements de rançon sont le carburant qui propulse le moteur d’extorsion numérique, et l’annonce d’aujourd’hui démontre que les États-Unis utiliseront tous les outils disponibles pour rendre ces attaques plus coûteuses et moins rentables pour les entreprises criminelles.

« Nous continuerons de cibler l’ensemble de l’écosystème des ransomwares pour perturber et dissuader ces attaques. Les annonces d’aujourd’hui démontrent également la valeur d’une notification précoce pour les forces de l’ordre. Nous remercions Colonial Pipeline d’avoir rapidement informé le FBI lorsqu’ils ont appris qu’ils étaient ciblés par DarkSide.

Le directeur adjoint du FBI, Paul Abbate, a ajouté : « Il n’y a aucun endroit hors de la portée du FBI pour dissimuler des fonds illicites qui nous empêcheront d’imposer des risques et des conséquences aux cyber-acteurs malveillants.

« Nous continuerons à utiliser toutes nos ressources disponibles et à tirer parti de nos partenariats nationaux et internationaux pour perturber les attaques de ransomware et protéger nos partenaires du secteur privé et le public américain. »

La saisie elle-même a été traitée par l’Unité des poursuites spéciales et de la confiscation d’avoirs du bureau du procureur des États-Unis du district nord de la Californie, appuyée par les sections Blanchiment d’argent et récupération d’actifs de la Division criminelle du DoJ, et Criminalité informatique et propriété intellectuelle, aux côtés des sections Contre-espionnage et Section Contrôle des exportations. L’opération elle-même a été l’une des premières à être coordonnée par le nouveau groupe de travail américain sur les ransomwares, mis en place plus tôt en 2021 en réponse à la recrudescence actuelle des attaques.

Endiguer la marée

La réaction à la saisie a été largement positive, les membres de la cybercommunauté félicitant les autorités américaines pour avoir pris des mesures décisives. Mandiant le vice-président de l’analyse, John Hultquist, était parmi ceux qui ont exprimé leur soutien.

Il a déclaré : « La décision du DoJ de récupérer les paiements de rançon des opérateurs qui ont perturbé l’infrastructure critique américaine est un développement bienvenu. Il est devenu clair que nous devons utiliser plusieurs outils pour endiguer la vague de ce grave problème, et même les organismes d’application de la loi doivent élargir leur approche au-delà de la constitution de dossiers contre des criminels qui peuvent être hors de portée de la loi.

« En plus des avantages immédiats de cette approche, une plus grande concentration sur les perturbations peut décourager ce comportement, qui se développe dans un cercle vicieux. »

Réseaux Nozomi L’évangéliste des produits Chris Grove était tout aussi enthousiaste, affirmant que l’action était exactement ce que les défenseurs de la sécurité avaient besoin de voir.

« Se défendre contre les menaces ordinaires est abordable et réalisable », a-t-il déclaré. « Certaines menaces atteignent un nouveau niveau et doivent être traitées différemment. Bien qu’il soit formidable que le gouvernement ait récupéré une partie des 4,4 millions de dollars payés par Colonial Pipeline, nous ne pouvons pas perdre de vue le fait que si Colonial est une histoire qui se termine plus heureusement, il y a des dizaines de victimes dont nous pouvons également discuter qui n’ont pas réussi ainsi que. Sans parler des centaines que nous connaissons mais dont nous ne pouvons pas discuter, et un autre millier que nous ne connaissons même pas.

“Nous devons garder un œil sur le ballon et continuer à renforcer nos défenses, tout en utilisant des actions comme celles d’aujourd’hui, comme un moyen de couper les mauvaises herbes qui poussent trop haut.”

Ne m’arrête pas maintenant

ImmuniWeb La fondatrice Ilia Kolochenko, qui est également membre du réseau d’experts en protection des données d’Europol, a convenu que la saisie envoyait un message clair que les autorités avaient atteint la fin de leur “tolérance” aux attaques de ransomware, mais a déclaré qu’il était important de soutenir cette action avec plus de financement et de soutien, plutôt que d’accepter simplement la victoire.

“Le DoJ aura certainement besoin de plus de fonds pour étendre progressivement son unité de poursuite de la cybercriminalité et favoriser la collaboration interagences”, a-t-il déclaré. « De plus, la coopération internationale est essentielle pour freiner la recrudescence des attaques de ransomware, y compris une coopération de base avec des juridictions traditionnellement hostiles. Sinon, même s’ils ne sont pas découverts, les auteurs bénéficieront probablement de l’impunité en raison de l’absence de traités d’extradition avec des juridictions étrangères. »

La saisie doit également être soutenue par une plus grande attention de la part des gouvernements – et pas seulement du gouvernement américain – pour aider les entreprises à établir des programmes de cybersécurité continus, basés sur les risques et axés sur les processus – basés sur des normes telles que ISO 27001 – pour atténuer le risque d’être victime d’un coup de ransomware.

« La plupart des victimes de ransomwares de toutes tailles négligent même les bases de la protection des données, devenant finalement un fruit à portée de main pour les cybercriminels sans scrupules », a déclaré Kolochenko. « Par conséquent, le simple fait de poursuivre les criminels avec plus de force n’aidera pas sans d’abord améliorer la sensibilisation et la préparation nationales en matière de cybersécurité. »

Le DoJ’s Monaco a adopté une ligne similaire en déclarant: «Dans ce paysage de menace accrue, nous avons tous un rôle à jouer pour assurer la sécurité de notre nation. Aucune organisation n’est à l’abri. Aujourd’hui, je tiens donc à souligner aux dirigeants d’entreprises et de communautés que la menace d’attaques de ransomware graves constitue un danger clair et présent pour votre organisation, votre entreprise, vos clients, vos actionnaires et votre succès à long terme.

« Faites attention maintenant. Investissez les ressources maintenant. Ne pas le faire pourrait faire la différence entre être en sécurité maintenant – ou être victime plus tard. »

Debout toute la nuit pour avoir de la chance

Mais John Hammond, chercheur principal en sécurité à Chasseresse Sécurité, a déclaré qu’il était probable que les enquêteurs aient eu de la chance, et a remis en question l’idée que de telles saisies seraient un jour monnaie courante.

“L’un des facteurs les plus propices à la cybercriminalité moderne est l’avènement des crypto-monnaies”, a-t-il déclaré. « Aucune autre technologie n’offre à un mauvais acteur le crime parfait : menaces anonymes sans frontières, chantage et extorsion sans surveillance financière ni autorité gouvernementale.

«Ceux-ci passent presque toujours inaperçus, car malgré les devises comme le bitcoin et l’ethereum offrant un grand livre public, rien n’empêche les criminels de blanchir de l’argent via un mixeur automatisé. Les mauvais acteurs peuvent « laver » l’argent en le faisant passer par de nombreuses transactions jusqu’à ce qu’il n’ait aucun lien apparent avec l’origine. »

Hammond a ajouté : « À moins que les mauvais acteurs ne commettent une erreur involontaire, la conception inhérente de la crypto-monnaie en fait une voiture de fuite parfaite. C’est formidable de voir qu’une enquête approfondie et un travail de détective pourraient aider à récupérer de l’argent pour Colonial Pipeline, mais à moins que quelque chose ne soit fait au sujet des crypto-monnaies, nous pourrions ne pas être aussi chanceux à nouveau.

“Quoi que ce soit abolir les crypto-monnaies, en ajoutant une surveillance ou d’autres garanties, quelque chose doit être changé pour que, à tout le moins, nous ne nous reposions pas sur un simple espoir que les criminels se soient trompés.