Ransomware : la part de l’attaquant ayant frappé Colonial Pipeline a été récupérée

Le ministère américain de la Justice a indiqué ce lundi 7 juin au soir avoir saisi 63,7 bitcoins issus de la rançon payée par Colonial Pipeline à la suite de l’attaque menée contre son système d’information à l’aide du ransomware DarkSide. Au cours actuel, cette somme représente environ 2,3 millions de dollars. Mais ce n’est pas le montant total de la rançon qui a été versée : celle-ci était de 4,4 millions de dollars et, surtout de 75 bitcoins.

Ce n’est pas une surprise. La « franchise » mafieuse DarkSide partageait, comme d’autres, les rançons obtenues entre ses opérateurs et les attaquants, ses affidés. La part des commissions prélevées variait notamment selon le montant des rançons extorquées.

L’utilisateur de Twitter Crypt0 Bear a reconstitué les flux financiers liés au paiement par Colonial Pipeline – et au passage par l’allemand Brenntag, le 11 mai dernier, à hauteur de quelques 78 bitcoins. Une heure après le versement de la rançon par Colonial Pipeline, celle-ci a été partagée, à hauteur de 11,25 bitcoins pour les opérateurs de DarkSide, et de 63,75 bitcoins pour leur affidé. Cette dernière somme a ensuite circulé quelque peu, d’adresse en adresse bitcoin. Un procédé courant, et parfois très élaboré, pour semer les enquêteurs dans la chaîne de blocs.

Le butin des opérateurs de DarkSide est quant à lui bien au chaud, sur une adresse distincte ayant été alimentée mi-mai par 14 adresses différentes qui semblent avoir été utilisées pour le paiement de plusieurs rançons. L’examen de ces transactions laisse à suspecter près d’une vingtaine de paiements entre début mars et mi-mai, pour montant cumulé de l’ordre de 22,7 millions de dollars.

Pour aboutir à cette saisie sur le butin, au moins partiel, d’un affidé de DarkSide, le FBI a indiqué à la Justice américaine disposer de la clé privée de l’adresse bitcoin visée. Pour Alon Gal, d’Under The Breach, il est envisageable que l’affidé concerné ait laissé traîner sa clé privée sur un serveur privé virtuel hébergé outre-Atlantique. De quoi permettre d’abord la saisie de celui-ci et l’obtention de la clé privée.

Le ransomware Darkside a fait commencer sa carrière dans le courant de l’été 2020, plutôt discrètement. Selon nos observations, ses opérateurs consacraient une nouvelle page à chaque victime en précisant la date du déclenchement de la charge de chiffrement. Les pages Web étaient numérotées, ce qui permet de se faire une idée de l’accélération du rythme des attaques conduites avec Darkside, jusqu’à sa disparition. Avant celle-ci, ce ransomware était utilisé dans près de 1,5 cyberattaque par jour, en moyenne. Avec un taux de succès, pour le paiement des rançons, particulièrement élevé ; bien au-delà en tout cas de celui des affidés de REvil.