L’arrêt du ransomware de Colonial Pipeline le 7 mai, qui s’est traduit par le paiement de près de 5 millions de dollars au groupe responsable du piratage de la société, illustre à quel point l’épidémie de ransomware est désormais incontrôlable. Au-delà du simple piratage de Colonial Pipeline, ce gang de ransomwares unique, DarkSide, a réussi à gagner / amassé / extorqué 90 millions de dollars de revenus en six mois, et le nombre de gangs similaires prolifère tellement qu’il faut une carte de pointage pour les suivre. tout. Des estimations prudentes suggèrent que les coûts de l’extorsion directe se chiffreront en milliards cette année seulement, et que les dommages collatéraux à l’économie sont sans aucun doute d’un ou deux ordres de grandeur de plus.
Mais au final, cette cyberpandémie n’est pas le résultat d’un problème de ransomware. Au lieu de cela, c’est parce que la société a un problème de Bitcoin.
À la fin des années 2000, le monde était confronté à une entreprise différente d’acteurs criminels russes, les spammeurs ciblant le Viagra et d’autres produits pharmaceutiques. Comme les ransomwares d’aujourd’hui, plusieurs gangs fonctionnaient avec un modèle d’affiliation, où les gangs fournissaient l’infrastructure et les affiliés compromettaient les machines ciblées par des efforts de spam. À l’époque, comme aujourd’hui, les autorités russes n’intervenaient généralement pas tant que les spammeurs ne perturbaient pas les ordinateurs russes ou n’entraînaient pas les forces de l’ordre dans leurs querelles internes. Ces gangs de la fin de 2000 rapportaient environ 100 millions de dollars par an, tout en causant facilement des dommages indirects d’un ordre de grandeur plus élevé.
À l’époque, il semblait presque impossible pour les forces de l’ordre étrangères de lutter contre ces opérations. Ces criminels étaient clairement hors de portée de la loi américaine et étaient protégés par un gouvernement russe qui considérait la cybercriminalité comme un centre de profit tant que les impacts n’étaient pas localisés. Mais le groupe de recherche dont j’étais alors membre a montré à Pfizer comment éliminer le problème du spam du Viagra.
Notre étude a commencé par l’obtention de près d’un milliard de messages de spam. Nous avons ensuite construit une infrastructure pour lire ces messages et visiter automatiquement les sites Web annoncés. En cours de route, nous avons retracé toute cette infrastructure. Ensuite, nous avons terminé le processus en achetant des articles tels que de fausses montres et des produits pharmaceutiques en vente libre pour découvrir la chaîne complète nécessaire à un spammeur pour transformer le spam pharmaceutique en profit.
En vendant ces produits pharmaceutiques identifiés comme du spam, les attaquants pourraient créer des sites Web arbitraires et des noms de domaine arbitraires, rendant impossible de dire : «Ce sont de mauvais sites de spam. Retirez-les. » Bien qu’ils livraient directement des produits à partir de destinations internationales, ils devaient encore traiter les paiements par carte de crédit et, à l’époque, presque tous les gangs utilisaient seulement trois banques. Cette révélation, qui a été soulignée dans un article du New York Times, a abouti à la fermeture des comptes bancaires des gangs quelques jours après l’histoire. Ce fut le début de la fin pour l’industrie du spam Viagra. Un des principaux opérateurs de gangs a posté des parties de notre article sur un forum russe sur la cybercriminalité le lendemain, mettant fin à sa diatribe par un reproche qui se traduisait par «F *** ing scientifiques, toujours à nouveau» et une image d’un nuage en forme de champignon.
Par la suite, tout spammeur qui oserait utiliser la marque «Viagra» verrait rapidement sa capacité à accepter les cartes de crédit irrévocablement compromise car quelqu’un effectuerait un achat test pour trouver la banque réceptrice, puis Pfizer enverrait un nastygram à la banque réceptrice. En moins d’un an, le commerce de spam du Viagra a effectivement disparu, et un cybercriminel russe a déclaré : «F *** ing Visa nous brûle avec du napalm.» Si la capacité des criminels à traiter les paiements peut être perturbée, il en va de même pour leur capacité à fonctionner.
En tant que société, nous avons également constaté l’efficacité de l’interdiction de paiement lors de la première grande épidémie de ransomwares en 2012 et 2013. Divers ransomwares ont proliféré, dont un prétendument impliquer le FBI. Certains de ces ransomwares de la génération précédente accepteraient des MoneyPaks Bitcoin ou Green Dot et ciblaient les victimes de la vente au détail en essayant d’extorquer quelques centaines de dollars. Heureusement, ce système n’a jamais métastasé, car Bitcoin était extrêmement gênant (et ne peut même plus fonctionner pour les petites transactions, chacune coûtant près de 59 $ en avril 2020). Pendant ce temps, Green Dot a considérablement assaini son action en réponse au Financial Crimes Enforcement Network et aux pressions du Congrès pour remédier à son rôle dans ces efforts criminels.
Maintenant, une nouvelle menace est apparue : le «ransomware de gros gibier». Ces opérations visent des entreprises plutôt que des particuliers, dans une tentative d’extorquer des millions plutôt que des centaines de dollars à la fois. Les revenus sont suffisamment importants pour que certains gangs puissent même se spécialiser et développer des vulnérabilités zero-day pour les logiciels spécialisés. Même la communauté des crypto-monnaies a noté que les ransomwares sont un problème Bitcoin. Les rançons de plusieurs millions de dollars, payées en Bitcoin, semblent désormais monnaie courante.
Cela suggère fortement que la meilleure façon de faire face à cette nouvelle ère de ransomwares pour gros gibiers impliquera non seulement de sécuriser les systèmes informatiques (après tout, vous ne pouvez pas corriger une vulnérabilité zero-day) ou de poursuivre (car la Russie ne le fait clairement pas). soin d’extrader ou de poursuivre ces criminels). Cela nécessitera également de perturber le seul canal de paiement capable de déplacer des millions à la fois en dehors des lois sur le blanchiment d’argent: Bitcoin et autres crypto-monnaies. Actuellement, il existe différentes méthodes qui peuvent dégrader, perturber ou détruire l’espace de crypto-monnaie.
D’autres peuvent argumenter qu’avec autant d’argent en jeu, les méchants trouveront un autre moyen. Je suis fortement en désaccord. Il n’y a que trois mécanismes existants capables de transférer une rançon de 5 millions de dollars: un virement de banque à banque, des espèces ou des crypto-monnaies. Il n’existe actuellement aucun autre mécanisme qui puisse répondre aux exigences de transfert de millions de dollars à la fois.
Les gangs de ransomwares ne peuvent pas utiliser les services bancaires normaux. Même la banque la plus manifestement corrompue considérerait le traitement des paiements de ransomware comme un risque existentiel. Mon groupe et moi avons remarqué ceci avec les spammeurs de Viagra : les banques de spammeurs avaient le choix soit de débiter les méchants, soit d’être coupées du système financier. La même chose s’appliquerait si un ransomware essayait d’utiliser des virements électroniques.
L’argent liquide est également un non-démarreur. Une rançon de 5 millions de dollars équivaut à 110 livres (50 kilogrammes) de billets de 100 dollars, ou deux valises pleines. Organiser un tel transfert à un extorqueur opérant en dehors des États-Unis est clairement irréalisable uniquement d’un point de vue physique. Les fournisseurs de ransomwares ont besoin de transferts qui ne nécessitent pas de présence physique et cent livres de trucs.
Cela signifie que les crypto-monnaies sont le seul outil qui reste pour les fournisseurs de ransomwares. Ainsi, si les gouvernements prennent des mesures significatives contre Bitcoin et d’autres crypto-monnaies, ils devraient être en mesure de perturber ce nouveau fléau de ransomware, puis de l’éradiquer, comme cela a été vu avec l’industrie du spam Viagra.
Car au final, nous n’avons pas de problème de ransomware, nous avons un problème de Bitcoin.