Le ministère américain de la Justice récupère 2,3 millions de dollars en Bitcoin versés aux hackers de ransomware

Le ministère américain de la Justice (DOJ) a annoncé lundi qu’il avait saisi 63,7 Bitcoins actuellement évalués à environ 2,3 millions de dollars que des individus d’un groupe de hackers criminels connu sous le nom de ‘DarkSide’ avaient extorqués à Colonial Pipeline lors d’une attaque par ransomware le mois dernier.

Pour ceux qui ne le savent pas, une bande de hackers utilisant la variante de ransomware DarkSide avait piraté le système informatique de Colonial Pipeline, basé en Géorgie, le 7 mai, provoquant des jours de pénurie de carburant sur la côte est des États-Unis, une augmentation des prix de l’essence, des achats de panique et le chaos dans les compagnies aériennes.

Au moment du piratage, DarkSide avait reconnu l’incident dans une déclaration publique.

“Notre objectif est de gagner de l’argent et non de créer des problèmes pour la société,” a écrit DarkSide sur son site web. “Nous ne participons pas à la géopolitique, nous n’avons pas besoin de nous lier à un gouvernement défini et cherchons… nos motifs.”

Pour résoudre l’attaque, Colonial Pipeline a payé une rançon d’environ 75 Bitcoins d’une valeur de plus de 4 millions de dollars le 8 mai afin de reprendre l’accès à ses systèmes informatiques. Il a également rapidement signalé l’affaire au Federal Bureau of Investigation (FBI).

Le FBI a pu suivre plusieurs transferts de Bitcoin en examinant le registre public Bitcoin et a identifié qu’environ 63,7 Bitcoins, représentant le produit du paiement de rançon de la victime, avaient été transférés vers un portefeuille de cryptomonnaie en Russie.

L’agence aurait pu accéder à la “clé privée” — l’équivalent grossier d’un mot de passe ou d’une clé physique — pour l’un des portefeuilles Bitcoin du groupe de hackers où ils ont reçu le paiement de Colonial.

“En utilisant l’autorité des forces de l’ordre, les fonds de la victime ont été saisis de ce portefeuille, empêchant les acteurs de DarkSide de les utiliser,” a déclaré le directeur adjoint du FBI, Paul Abbate, lors du briefing.

Le FBI a refusé de dire précisément comment il a accédé au portefeuille Bitcoin ni de partager des informations sur la manière dont il a obtenu l’accès à la clé privée.

“Aujourd’hui, nous avons inversé la tendance sur DarkSide,” a déclaré la procureure générale adjointe Lisa Monaco du DOJ américain lors d’un point de presse, ajoutant que l’argent avait été saisi par le biais d’un ordre du tribunal.

Elle a décrit l’opération dirigée par le FBI comme une victoire et une représentation des pleins pouvoirs du ministère de la Justice.

“Suivre l’argent reste l’un des outils les plus basiques, mais puissants que nous avons. Les paiements de rançon sont le carburant qui propulse le moteur de l’extorsion numérique, et l’annonce d’aujourd’hui démontre que les États-Unis utiliseront tous les outils disponibles pour rendre ces attaques plus coûteuses et moins rentables pour les entreprises criminelles,” a ajouté Monaco.

“Nous continuerons à cibler l’ensemble de l’écosystème des ransomwares pour perturber et dissuader ces attaques. Les annonces d’aujourd’hui démontrent également la valeur d’une notification précoce aux forces de l’ordre ; nous remercions Colonial Pipeline d’avoir rapidement informé le FBI lorsqu’ils ont appris qu’ils étaient ciblés par DarkSide.”

“Il n’y a pas de lieu au-delà de la portée du FBI pour dissimuler des fonds illicites qui nous empêcheraient d’imposer des risques et des conséquences aux acteurs malveillants du cyberespace,” a déclaré Abbate.

“Nous continuerons à utiliser toutes nos ressources disponibles et à tirer parti de nos partenariats nationaux et internationaux pour perturber les attaques par ransomware et protéger nos partenaires du secteur privé et le public américain,” a-t-il ajouté.

Le mandat de saisie a été autorisé par le bureau du procureur américain pour le district nord de la Californie.

Joseph Blount, directeur général de Colonial Pipeline Company, a remercié le FBI pour son “travail rapide et son professionnalisme” et pour avoir aidé l’entreprise à récupérer la rançon.

“Tenir les cybercriminels responsables et perturber l’écosystème qui leur permet d’opérer est le meilleur moyen de dissuader et de défendre contre de futures attaques,” a déclaré Blount dans un communiqué.