Le ministère de la Justice devrait annoncer lundi les détails de l’opération menée par le FBI avec la coopération de l’opérateur du pipeline Colonial, ont déclaré les personnes informées à ce sujet.
La récupération de la rançon est un résultat rare pour une entreprise qui a été victime d’une cyberattaque débilitante dans le secteur criminel en plein essor des ransomwares.
Mais dans les coulisses, la société avait pris des mesures précoces pour informer le FBI et suivi les instructions qui ont aidé les enquêteurs à suivre le paiement sur un portefeuille de crypto-monnaie utilisé par les pirates, qui serait basé en Russie. Des responsables américains ont lié l’attaque coloniale à un groupe de piratage criminel connu sous le nom de Darkside, qui partagerait ses outils malveillants avec d’autres pirates criminels.
Un porte-parole du ministère de la Justice a refusé de commenter et CNN a contacté l’opérateur du pipeline colonial.
CNN avait précédemment signalé que des responsables américains recherchaient d’éventuelles failles dans la sécurité opérationnelle ou personnelle des pirates afin d’identifier les acteurs responsables – en particulier en surveillant les pistes qui pourraient émerger de la façon dont ils déplacent leur argent, l’un des ont déclaré des sources proches de l’effort.
L’administration Biden s’est concentrée sur l’architecture moins réglementée des paiements par crypto-monnaie, ce qui permet un plus grand anonymat alors qu’elle intensifie ses efforts pour perturber les attaques de ransomware croissantes et de plus en plus destructrices, à la suite de deux incidents majeurs sur des infrastructures critiques.
« L’utilisation abusive de la crypto-monnaie est un formidable catalyseur »
« L’utilisation abusive de la crypto-monnaie est un catalyseur énorme ici », a déclaré à CNN Anne Neuberger, conseillère adjointe à la sécurité nationale. « C’est ainsi que les gens en retirent de l’argent. Avec la montée de l’anonymat et l’amélioration des crypto-monnaies, la montée des services de mixage qui blanchissent essentiellement des fonds. »
« Les entreprises individuelles se sentent sous pression – en particulier si elles n’ont pas fait le travail de cybersécurité – pour payer la rançon et passer à autre chose », a ajouté Neuberger. « Mais à long terme, c’est ce qui motive la rançon en cours [attacks]. Plus les gens sont payés, plus cela génère des rançons de plus en plus importantes et de plus en plus de perturbations potentielles. »
Alors que l’administration Biden a clairement indiqué qu’elle avait besoin de l’aide d’entreprises privées pour endiguer la récente vague d’attaques de ransomware, les agences fédérales sont aptes à retracer la devise utilisée pour payer les groupes de ransomware, a rapporté CNN précédemment.
Mais la capacité du gouvernement à le faire efficacement en réponse à une attaque de ransomware est très « dépendante de la situation », ont déclaré deux sources la semaine dernière.
L’une des sources a noté qu’aider à récupérer l’argent versé aux acteurs des ransomwares est certainement un domaine dans lequel le gouvernement américain peut fournir une assistance, mais a noté que le succès varie considérablement et dépend en grande partie du fait qu’il existe des failles dans le système des attaquants qui peuvent être identifiées et exploitées.
Dans certains cas, les responsables américains peuvent trouver les opérateurs de ransomware et « posséder » leur réseau dans les heures suivant une attaque, a expliqué l’une des sources, notant que cela permet aux agences compétentes de surveiller les communications de l’acteur et potentiellement d’identifier d’autres acteurs clés du groupe responsable.
Lorsque les acteurs des ransomwares sont plus prudents avec leur sécurité opérationnelle, y compris dans la façon dont ils déplacent de l’argent, perturber leurs réseaux ou tracer la devise devient plus compliqué, ont ajouté les sources.
« C’est vraiment un sac mélangé », ont-ils déclaré à CNN, se référant aux divers degrés de sophistication démontrés par les groupes impliqués dans ces attaques.
L’une des sources a également mis en garde contre le fait d’accorder trop d’importance aux actions du gouvernement américain, déclarant à CNN que les circonstances uniques autour de chaque attaque et le niveau de détail nécessaire pour prendre des mesures efficaces contre ces groupes font partie de la raison pour laquelle il n’y a « pas de solution miracle » lorsque il s’agit de contrer les attaques de ransomware.
« Il faudra des défenses améliorées, briser la rentabilité des ransomwares et des actions dirigées sur les attaquants pour arrêter cela », a ajouté la source, précisant que perturber et tracer les paiements en crypto-monnaie n’est qu’une partie de l’équation.
Ce sentiment a été repris par les experts en cybersécurité qui conviennent que les acteurs des ransomwares utilisent la crypto-monnaie pour blanchir leurs transactions.
« À l’ère du Bitcoin, blanchir de l’argent est quelque chose que tout nerd peut faire. Vous n’avez plus besoin d’un grand appareil du crime organisé », selon Alex Stamos, ancien responsable de la sécurité de Facebook, co-fondateur du groupe Krebs Stamos.
« La seule façon dont nous pourrons riposter contre cela en tant que société entière est de le rendre illégal … Je pense que nous devons interdire les paiements », a-t-il ajouté. « Cela va être vraiment difficile. Les premières entreprises à être touchées une fois qu’il est illégal de payer, elles vont être dans une situation très difficile. Et nous allons voir beaucoup de douleur et de souffrance. »
Cette histoire est en rupture et sera mise à jour.
.
