Le ransomware prospère grâce à l’apathie des autorités

Une étude montre qu’il est possible de démonter l’infrastructure financière permettant aux cybercriminels de tirer profit des ransomware. Une faille insuffisamment exploitée par la police, juge Imperva.

Selon une étude publiée par l’éditeur d’outils de sécurité Imperva, le très répandu ransomware Cryptowall 3.0 a rapporté plus de 350 000 dollars au groupe de cybercriminels qui l’ont exploité. 670 victimes dans le monde ont accepté de payer une rançon pour recouvrer l’accès à leurs données chiffrées par le malware. Pour obtenir ces données, les équipes d’Imperva se sont basées sur l’analyse des portefeuilles de Bitcoin connectés aux criminels.

« Nous avons clairement montré que démonter les mécanismes de l’infrastructure financière des ransomware est faisable et que des recherches de ce type peuvent être très utiles si elles sont conduites par les autorités compétentes, écrit Imperva dans son document de synthèse. Nous pensons qu’une des raisons pour lesquelles les ransomware prospèrent réside dans le manque de mesures prises par les services de police ». Ces dernières sont, il est vrai, confrontées aux difficultés intrinsèques des enquêtes transfrontalières.

Par ailleurs, être sur le point de perdre des données en raison d’un ransomware revient, pour une entreprise, à admettre des failles dans sa politique de sauvegarde de données. Avec des sauvegardes fiables, une restauration suffit pour éviter tout paiement de rançon. Pas sûr donc que les entreprise soient très enclines à confesser pareil manquement… et que les services de police soient très réceptifs face à des plaignants aussi peu précautionneux.

Rançon adaptée au niveau de vie

Si Imperva est parvenu à assembler le puzzle financier lié à Cryptowall, l’analyse de la société montre que les pirates ont multiplié les précautions pour rester anonymes : le paiement en Bitcoins passe ainsi par le réseau Tor. Mais l’historique des transactions dans la monnaie virtuelle reste accessible sur des sites publics, remarque Imperva, qui explique avoir utilisé ces données pour reconstituer l’infrastructure financière mise en place par les criminels. Une infrastructure qui reste en grande partie inchangée pour Cryptowall 4.0, assure la société.

De façon amusante, Imperva note que les cybercriminels emploient des stratégies qu’on pourrait qualifier de marketing pour maximiser leurs gains. D’abord en adaptant les rançons au niveau de vie des pays. Ainsi un utilisateur piégé aux États-Unis se voit réclamer 700 $, contre 500 pour son compère d’infortune en Israël ou en Russie. De même, afin de pousser leurs victimes à payer, les assaillants utilisent un compte à rebours, et menacent leurs victimes de renchérir la rançon si elles ne payent pas dans les délais. « Ce niveau d’exploitation de la psychologie humaine peut uniquement provenir d’un groupe cybercriminel organisé et ayant une expérience préalable » du sujet, écrit Imperva.

A lire aussi :

Les implants médicaux, prochaines cibles des ransomwares

Ransomware : un retour sur investissement très lucratif

Sécurité : le ransomware Cryptowall 2.0 contourne les antivirus

Crédit photo : Andrey Armyagov-Shutterstock