Ransomware : les amours toujours contrariées des cybertruands avec le Bitcoin

Les cybercriminels aiment les cryptomonnaies et elles le leur rendent bien. En général. Fin 2017, Michel Lanaspèze, alors directeur marketing de Sophos pour l’Europe de l’Ouest, en était sûr : « il n’y a aucun doute que le Bitcoin et les autres cryptomonnaies ont contribué à l’essor de la cybercriminalité, et tout particulièrement au succès du modèle d’attaque des ransomwares ». Mais pour lui, la réciproque est aussi vraie.

Jean-François Dechant (alors directeur exécutif de Vade Secure en charge du développement) estimait, quant à lui, « indéniable » que les opérations de cyberextorsion – rançongiciel, chantage au déni de service distribué (DDoS) ou à la divulgation de fuites de données – avaient contribué à l’augmentation de la valeur des cryptomonnaies. 

Géraldine Hunt, chez TitanHQ, estimait d’ailleurs, au mois d’août précédent, que « les attaques par ransomware [étaient] devenues si fréquentes que de nombreuses institutions financières telles que des banques européennes engrangent du bitcoin pour se protéger contre les attaques et accélérer le processus de reprise d’activité. Tout cela a aidé à faire progresser la valeur du bitcoin, qui renforce sa popularité ». De quoi contribuer à accélérer le phénomène, en boucle…

Mais voilà, les transactions en bitcoins sont fortement traçables. Leur suivi tient même une place de choix dans l’arsenal judiciaire de lutte contre la cybercriminalité. 

Car si suivre la trace des paiements en bitcoin n’est pas nécessairement trivial, c’est loin d’être impossible. C’est ainsi que nous avions pu estimer qu’au moins 25 victimes d’Avaddon avaient cédé au chantage courant mai 2021, rapportant aux cybercriminels près d’un million de dollars. Quelques mois plus tard, nous réitérions l’exercice pour Conti.

Selon nos analyses, Tramp, ou Oleg Nefedov, leader de Black Basta et ancien de Conti, dispose aujourd’hui d’au moins 20 bitcoins de côté et en contrôlait au moins 2 000 en janvier 2023.

Les acteurs de l’écosystème mafieux du rançongiciel ne sont toutefois pas naïfs et ne manquent pas de ruses pour échapper à la surveillance. L’examen de certaines traces peut faire ressortir de longues, très longues, traînes d’opérations mineures, enchaînées d’adresse en adresse, pour clairement décourager l’analyse. Et le phénomène est loin d’être rare, sans compter les boucles entre adresses. 

Surtout, les cybercriminels font appel à de véritables usines à blanchiment, des lessiveuses à cryptopépettes, passant de l’une à l’autre à grand renfort d’exchanges plus ou moins regardants et de smart contracts. Mais ils ont aussi essayé de migrer directement vers des devises moins traçables.

REvil a ainsi commencé, courant 2020, à demander des paiements en Monero, n’acceptant le bitcoin que moyennant une augmentation de 10 % du montant demandé. Même chose pour Darkside, qui demandait 20 % de plus pour un versement en bitcoin. Chez Blackmatter, c’était même 25 % ! Prometheus n’a quant à lui jamais accepté que le Monero. Pour autant, le bitcoin reste roi dans le paiement des rançons.

Mais si les cybercriminels ont accepté cette concession pour continuer de se faire payer par leurs victimes, ils n’en ont pas moins adopté le Monero. Ailleurs.

Dans un récent rapport sur une entité désignée sous le nom de Ruthless Mantis, Prodaft explique ainsi que le chef du groupe, désigné sous la référence LARVA-127, « a proposé un système de blanchiment de cryptomonnaie destiné aux nouveaux arrivants, qui masque l’origine des fonds en plusieurs étapes ». 

Cela commence « par l’utilisation de la fonction CoinJoin disponible dans Wasabi Wallet pour mélanger les transactions Bitcoin et renforcer l’anonymat. Après l’anonymisation initiale, les bitcoins sont convertis en Monero sur TradeOgre en tirant parti des caractéristiques de confidentialité inhérentes à Monero ». 

De là, les fonds sont transférés « vers un échange de cryptomonnaies chinois, dépourvu de mesures de vérification rigoureuses. Une fois cette étape franchie, la dernière consiste à effectuer le retrait via le système P2P de Binance ». 

Le Monero semble aussi avoir été adopté pour certains paiements directs entre cybercriminels. C’est ainsi ce que font ressortir les échanges internes au groupe Black Basta divulgués en février. L’un des pentesters du groupe a ainsi présenté à Tramp l’adresse de son portefeuille Monero à plusieurs reprises, en décembre 2023, pour se faire payer, puis celle d’autre autre, entre mai et juillet 2024, et une troisième entre août et septembre derniers.