jeudi, 28 mars 2024

Le FBI récupère le paiement colonial

En mai 2021, le plus gros pipeline des États-Unis, Colonial Pipeline, a interrompu ses opérations en raison d’une attaque de ransomware. À l’époque, Colonial Pipeline acheminait 45 % du carburant utilisé sur la côte est des États-Unis, du Texas à l’emplacement de la baie de New York. L’attaque a été menée par un groupe de piratage basé en Russie connu sous le nom de « Darkside ». Le groupe de piratage a exporté plus de 100 Go d’informations en 2 heures depuis Colonial Pipeline. Plus tard, Darkside a demandé une rançon en bitcoins pour restituer les informations de Colonial Pipeline non cryptées et non diffusées sur le Web grand public.

A-t-il payé ?

Les spécialistes de la cybersécurité du monde entier souhaitent que les victimes de ransomwares ne paient pas la rançon. Le Trésor américain a interdit les paiements de ransomware en 2020. Néanmoins, Colonial Pipeline a décidé de payer 4,4 millions de dollars en bitcoins. Quelques semaines plus tard, le FBI a vraisemblablement réussi à restituer 63,7 des 75 bitcoins payés à Darkside, étourdissant le quartier de la cybersécurité. Les Bitcoins et leurs paiements sont censés être introuvables.

Comment le FBI a-t-il récupéré les Bitcoins ?

Selon un rapport du DoJ, le FBI avait la possibilité d’acquérir le secret personnel du ou des portefeuilles où le paiement de la rançon de Colonial s’est terminé, donnant accès à leur compte de trading de crypto-monnaie particulier. Le FBI s’est ensuite contenté de transférer les fonds du ou des comptes à lui-même, qu’il comprenne ou non à qui appartenaient ces portefeuilles. Les pirates utilisent fréquemment plus d’un compte/portefeuille lorsqu’ils acceptent les paiements en bitcoins afin de protéger leur vie privée.

Comment cela s’est-il passé

Le destinataire de la transaction criminelle a commis une erreur et a été exposé leurs clés privées de portefeuille au FBI. Les secrets privés Bitcoin sont généralement non seulement gardés privés, mais également stockés sous forme cryptée où vous avez besoin d’une authentification à deux facteurs pour déverrouiller le secret privé avant de pouvoir commencer à déverrouiller les fonds sécurisés par ce type personnel dans le portefeuille Bitcoin.

Voici les méthodes les plus probables que le FBI a pu récupérer les secrets du portefeuille privé Bitcoin :

  • Implantez un logiciel espion sur votre système informatique pour rechercher des fichiers et enregistrer les frappes. Avec un peu de chance, les logiciels espions implantés peuvent non seulement exfiltrer votre clé privée, mais aussi trouver le mot de passe nécessaire pour l’ouvrir. Les portefeuilles de crypto-monnaie hors ligne et les clés privées de ce type sont compris dans le commerce comme des « portefeuilles froids », car il est suggéré qu’ils ne soient pas accessibles en ligne.
  • Travailler avec un échange de crypto-monnaie pour accéder aux informations conservés là-bas. Certains fans de crypto-monnaie conservent au moins une partie de leurs fonds dans ce que l’on appelle des « portefeuilles chauds », indiquant qu’ils comptent sur un tiers qui gère un site Web d’échange de crypto-monnaies avec leur secret privé afin qu’ils puissent acheter et vendre rapidement des crypto-monnaies en ligne. Les échanges légitimes peuvent et fonctionneront avec les forces de l’ordre si un mandat l’exige, et si l’échange a votre portefeuille et votre clé personnelle, il peut les remettre. (En outre, l’échange pourrait être piraté ou, si l’échange lui-même est irrégulier, s’enfuir avec votre crypto-monnaie elle-même.)
  • Faites une fortune en renversant un initié. Un ou davantage de personnes au sein de l’équipe de ransomware DarkSide auraient eu accès aux fonds mal acquis, de sorte que le FBI aurait pu obtenir d’eux les renseignements dont il avait besoin. Les opposants experts peuvent aussi être des informateurs pour le FBI ! Si vous informez d’autres personnes de vos mots de passe crypto, elles pourraient vous vendre ou simplement prendre les fonds elles-mêmes, de la même manière qu’elles pourraient effectuer des retraits fantômes de votre compte bancaire si vous leur indiquiez le code PIN de notre carte ATM.

Que faire ?

C’est un soulagement que le FBI ait récupéré une grande partie des fonds dans cette affaire, bien qu’il y ait certaines choses que vous devez effectuer à la lumière de cette occasion :

  • Ne mettez pas toutes vos crypto monnaies dans des hot wallets. Lorsque vous déléguez votre épargne ou vos versements de salaire à une banque, vous le faites avec des années d’analyse réglementaire et de sécurité pour vous épauler. Dans le monde non réglementé de la crypto-monnaie, vous êtes principalement seul en cas de problème. Ne gardez pas plus que ce que vous pouvez payer pour perdre dans un portefeuille chaud.
  • Ne gardez pas toutes vos informations en ligne tout le temps. Paradoxalement, peut-être, une défense essentielle contre les ransomwares tout d’abord, il s’agit de conserver une sauvegarde hors ligne, idéalement une sauvegarde également hors site. Garder hors ligne vos pièces cryptées, en plus de toute information véritablement personnelle ou importante, est également une précaution bénéfique.
  • Ne prévoyez pas de garder un secret tel qu’un mot de passe ou un code PIN ATM si vous le dites à d’autres personnes. Comme Benjamin Franklin devrait l’avoir dit, « 3 personnes peuvent garder un secret, si 2 d’entre elles sont mortes. » N’oubliez pas : En cas de doute, ne le donnez pas.
  • Ne vous attendez pas à récupérer votre argent comme l’a fait Colonial. Vous devez réfléchir de récupération de pièces crypto comme une exception rare, pas comme une règle commune. Comme indiqué ci-dessus, la police a normalement besoin d’une affaire très médiatisée, d’un renseignement opérationnel solide et d’un peu de chance, pour que la police obtienne un résultat comme celui-ci.

En plus de ces actions spécifiques à la crypto-monnaie, votre entreprise doit prendre des mesures proactives pour réduire dans un premier temps ses chances d’être frappée par un ransomware. CyberHoot recommande les bonnes pratiques suivantes pour prévenir, se préparer et éviter les dommages causés par ces attaques :

  • Adopter une authentification à deux facteurs sur tous les services critiques accessibles sur Internet
  • Adopter une superviseur des mots de passe pour une meilleure hygiène des mots de passe personnels/professionnels
  • Besoin de mots de passe à 14 caractères dans vos politiques de gouvernance
  • Suivez une technique de sauvegarde 3-2-1 pour toutes les informations cruciales et délicates
  • Former les employés à détecter et à prévenir les attaques d’hameçonnage par e-mail
  • Inspecter que les employés peuvent trouver et éviter les e-mails d’hameçonnage en les évaluant
  • Documenter et tester la reprise après sinistre de continuité d’activité (BCDR) prépare
  • Effectuer une évaluation des menaces tous les deux à trois ans

Source :

NakedSecurity– Sophos

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici