Redoutablement efficace et peu risqué, le ransomware est devenu en peu de temps la fraude informatique préférée des cybermalfrats. La question que tout le monde se pose : quel butin ces derniers arrivent-ils à récolter ? Trois chercheurs en sécurité de Google – Elie Bursztein, Kylie McRoberts et Luca Invernizzi – ont donné la réponse à l’occasion de la conférence Black Hat USA 2017, qui se tient actuellement à Las Vegas.
Selon eux, le ransomware a permis de générer à ce jour 25 253 505 dollars. Ce chiffre particulièrement précis est le résultat d’une analyse très poussée des flux Bitcoins impliquées dans les paiements de la fameuse rançon. Toutes ces transactions, en effet, sont stockées quelque part dans la blockchain. Le problème, c’est qu’il faut les trouver. Généralement, la somme payée par la victime arrive d’abord sur un portefeuille Bitcoin dédié, avant de transiter par de multiples portefeuilles. Un vrai labyrinthe.
Follow the money
Les rapports techniques des victimes connues permettent déjà d’identifier un certain nombre des portefeuilles utilisés par les pirates. Mais ce n’est pas suffisant pour avoir une vision globale des choses. C’est pourquoi les chercheurs ont eu l’idée de simuler des victimes en effectuant des micropaiements de rançon et en observant les flux Bitcoins qui en découlent. Pour y arriver, les chercheurs se sont appuyés sur 301 588 exemplaires de 34 familles et sous-familles de ransomware, provenant notamment de la base Virus Total. Ces exemplaires ont pu être identifiés grâce à des techniques d’intelligence artificielle appliquées à l’analyse de code.
Il suffisait ensuite d’extraire les adresses Bitcoin embarquées dans ces codes malveillants pour réaliser les micropaiements, sachant que tout cela s’est fait de manière automatisée. Les flux ont pu ensuite être tracés avec l’aide de Chainanalysis, une société spécialisée dans l’analyse de la blockchain. Grâce à cette technique, les chercheurs ont pu au final détecter les portefeuilles qui aggrégeaient tous ces différents paiements avant que ces derniers ne soient convertis en monnaie réelle sur une place de marché.
Outre le montant cité plus haut, d’autres résultats découlent de cette analyse. Ainsi, on a la confirmation que 2016 a bien été l’année du ransomware. Les revenus ont littéralement explosés à partir de cette période, dépassant souvent le million de dollars par mois. Les logiciels les plus rémunérateurs sont Locky et Cerber qui accaparent de loin la majorité des rançons. Le premier domine le marché en 2016, le second s’impose en 2017 en s’appuyant sur un modèle de diffusion indirecte par des partenaires affiliés.
Autre information intéressante : 95 % des paiements Bitcoins ont été convertis en monnaie réelle au travers de la place de marché russe BTC-E, qui existe depuis 2011. Hasard de calendrier, l’un des dirigeants présumés de BTC-e vient d’être interpellé en Grèce sur la base d’un mandat d’arrêt américain, comme le rapporte l’agence Reuters. Il s’agit d’Alexandre Vinnik, un homme russe de 38 ans. Il est accusé d’avoir blanchi plus de 4 milliards de dollars au travers de BTC-e…
Pour ceux qui sont intéressés, les chercheurs de Google devraient publier prochainement les détails de leur analyse dans un article de blog.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
