Plus que jamais, le cybercrime paie. Chainalysis évalue à au moins 350 millions de dollars le total des paiements en cryptomonnaies reçus par les opérateurs de rançongiciel en 2020. Pour parvenir à cette estimation, l’entreprise scrute les transactions sur la blockchain, et s’intéresse tout particulièrement à celles liées à l’activité criminelle. Car oui, tout paiement en bitcoin, par exemple, peut être observé publiquement. Si les noms des deux personnes impliquées dans l’échange ne s’affichent pas, ceux de leurs portefeuilles de cryptomonnaies apparaissent en revanche.
Les cybercriminels utilisent des mixeurs pour blanchir leurs bitcoins en monnaie courante. // Source : Petre Barlea – Pexels
Signe de l’ascension effrayante des rançongiciels, les gains des cybercriminels seraient trois fois supérieurs à ceux de 2019. Les malfaiteurs touchent des cibles plus nombreuses, mais aussi plus grosses, ce qui leur permet de demander des rançons plus importantes, de l’ordre de la dizaine de millions de dollars. Pour couronner le tout, ils utilisent des moyens de pression toujours plus pernicieux pour forcer leurs victimes à payer. Publicités Facebook, harcèlement téléphonique ou encore attaques DDoS viennent s’ajouter aux menaces désormais systématiques de publication des données dérobées.
350 millions de dollars, estimation basse d’un montant inédit
Si le montant a de quoi inquiéter, il n’est pourtant qu’une estimation basse de celui réellement récolté par les malfaiteurs. Chainalysis rappelle que seule une partie des victimes communiquent au sujet de l’attaque qu’elles ont subie, et une encore plus petite partie s’exprime au sujet d’un éventuel paiement. Si le consensus théorique est qu’il ne faut pas payer la rançon des cybercriminels, de nombreuses raisons pratiques poussent les victimes à ne pas le suivre. Parfois, la survie même de l’entreprise est en jeu, et régler la somme demandée apparaît comme la seule échappatoire. À partir de ce constat, le rapport spécule que la somme totale des paiements pourrait s’élever à plus du double de son estimation.
L’argent des rançons passe ensuite par plusieurs mécanismes de blanchiment pour être converti en monnaie courante. Les cybercriminels font par exemple passer les bitcoins dans des « mixeurs ». Ces services vont fracturer l’argent du portefeuille en milliers de microtransactions. L’objectif : rendre quasi impossible la tâche des autorités ou entreprises qui chercheraient à retracer le chemin des transactions sur la blockchain. Les forces de l’ordre pourraient saisir l’argent des rançons au moment de la conversion, mais faut-il encore qu’elles puissent prouver son origine criminelle.
Le rapport précise aussi que les cybercriminels utilisent leur gain pour réinvestir dans leur activité illégale. Ils paient en bitcoin des services d’évaluation des défenses des réseaux (aussi appelés « test de pénétration ») ; achètent des outils clés en main pour exploiter des vulnérabilités logicielles dont ils se serviront pour entrer sur le réseau de la victime ; ou encore, ils financent des services d’hébergement peu regardant sur leurs activités. Ils pourront ainsi mettre en place les serveurs de commande qu’ils utiliseront pour déployer à distance les différents modules du rançongiciel chez leurs victimes.
Bonne nouvelle : il n’y aurait pas autant de cybercriminels qu’on pourrait le croire
En tout, Chainalysis comptabilise une petite dizaine d’organisations cybercriminelles ayant extorqué plus d’un million d’euros. Parmi les gros poissons, on retrouve les noms les plus connus : Ryuk, Maze (qui a depuis cessé son activité), Conti, Sodinokibi ou encore Netwalker (démantelé par les autorités européennes la semaine dernière). Chainalysis relève que l’activité de ces organisations varie grandement chaque mois, de sorte que ce ne sont que très rarement les trois mêmes qui constituent le podium des gains. « De nombreuses organisations fonctionnent avec le modèle de ransomware-as-a-service, dans lequel des partenaires affiliés ‘louent’ l’usage d’une source de ransomware particulière à ses créateurs ou administrateurs, en échange d’une commission sur chaque attaque réussie », rappelle l’entreprise.
En conséquence, ces groupes de hackers changeraient de souche de rançongiciel d’un mois à l’autre en fonction des offres de redistribution proposées par les créateurs des malwares. Un pic d’activité de Ryuk pourrait donc en réalité avoir la même origine qu’un pic d’activité de Sodinokibi le mois précédent. Malgré les apparences, ce constat est plutôt une bonne nouvelle : il n’y aurait pas suffisamment de malfaiteurs compétents pour faire tourner l’activité de toutes les souches de rançongiciel à plein régime en même temps. Elles dépendraient donc d’un nombre réduit d’affiliés performants.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
