Lorsque le pipeline colonial a été touché par des ransomwares le 7 mai 2021, il a payé 75 Bitcoins pour restaurer ses systèmes.Mais l'argent n'a pas été entièrement perdu.Le FBI a pu le tracer alors qu'il passait d'un portefeuille numérique à un autre.À un moment donné, le 27 mai 63.7 des bitcoins ont été transférés à une adresse et ont cessé de bouger.Le FBI a obtenu la clé privée pour déverrouiller ce portefeuille Bitcoin et a pu récupérer les fonds.
La saisie a été une grande victoire pour le U.S.Groupe de travail sur les ransomwares du ministère de la Justice, dédié à enquêter et à perturber les gangs cybercrimins.Les ransomwares ont paralysé plus du tiers des organisations du monde en une seule année, et les deux tiers des victimes ont déclaré une perte importante de revenus.Les paiements dépassent 600 millions dedollar au total en 2021, selon un récent rapport de Blockchain Data Platform Strysysis.
Alors que le FBI a dit peu de choses sur la façon dont il a obtenu la clé privée et comment elle a aidé Colonial Pipeline à récupérer une partie de la rançon, le traçage des transactions sur la blockchain devient une partie essentielle des enquêtes cybercriminales.Les organismes d'application de la loi travaillent souvent avec des sociétés d'analyse qui ont des experts dédiés ou proposent des outils logiciels conçus pour prendre des données brutes de blockchain et fournir des informations sur l'informatique.
"Nous sommes en mesure de retracer et de suivre le flux de fonds d'une manière qui n'a jamais été possible", explique Ari Redbord, responsable des affaires juridiques et gouvernementales de la Blockchain Intelligence Company Trm Labs, qui fournit un logiciel pour tracer les transactions de crypto-monnaie.
Donner un sens aux données brutes de la blockchain peut aider les victimes de ransomwares à récupérer une partie de leur argent, mais elle peut également faire la lumière sur d'autres types d'activités criminelles, à partir de celle des acteurs de l'État-nation qui opèrent sur la blockchain vers une fraude financière ou même des cas d'enlèvement.
Souvent, les enquêtes nécessitent des semaines de travail, des connaissances techniques de niche et une certaine créativité, mais "il y a certainement une chance non insignifiante d'obtenir au moins 25% [de l'argent]", explique Paul Sibenik, directeur de cas de cas de la Blockchain Investigation Agency Cipherblade.
Étapes d'une enquête blockchain
La récupération de la rançon coloniale du pipeline s'est produite dans "une circonstance très unique", comme le dit Redbord.Pourtant, ce succès du DOJ a aidé les victimes à apprendre que récupérer ses fonds pourrait être une possibilité.Bien que les enquêtes sur la blockchain puissent avoir des durées différentes, les étapes impliquées sont similaires, quel que soit le type de crime.
Lorsqu'une attaque se produit, les enquêteurs ont l'adresse de crypto-monnaie à laquelle le paiement a été effectué.Habituellement, l'argent ne reste pas longtemps.Il se déplace vers différentes adresses, se divise en différents portefeuilles et est converti de Bitcoin en d'autres crypto-monnaies, sautant.Les pirates déplacent des fonds pour couvrir leurs traces mais aussi pour payer les associés.Certains anneaux de cybercrimins utilisent des blanchisseurs d'argent professionnels.Toutes ces transactions sont diffusées à la blockchain.
"Vous verrez des hachages de transaction, vous verrez Bitcoin et d'autres adresses de crypto-monnaie, [mais] il n'y a aucun moyen réel de dire comment ces adresses sont liées", explique Phil Larratt, directeur des opérations britanniques chez Chainalysis.
Alors que n'importe qui peut accéder au grand livre public et regarder les données brutes, en dérivant des informations tangibles peut être difficile.Une façon d'obtenir des faits précieux est de regrouper les adresses ensemble, dans l'espoir d'identifier l'entité qui les contrôle, tels que des individus, des échanges ou des groupes de ransomwares.Les portefeuilles individuels, par exemple, peuvent avoir cinq ou six adresses, tandis que certains services qui fonctionnent sur la blockchain, tels que les échanges, pourraient permettre de regrouper des millions d'adresses.
Connaître l'entité exacte derrière un lot d'adresses peut être cruciale, et les sociétés de Blockchain Intelligence ont des moyens de constater que.Ils regroupent les informations provenant de plusieurs sources, utilisant souvent des données hors chaîne pour enrichir leur compréhension des transactions.Ils regardent les forums Web Dark, les publications sur les réseaux sociaux et les documents judiciaires entre autres.
"Vous pouvez être sur Facebook, et vous voyez [quelqu'un] solliciter des fonds à Bitcoin et il y a une adresse là-bas", dit Redbord.Cette adresse est copiée et peut être associée à un anneau cybercriminal, à une organisation terroriste ou à d'autres entités illicites, selon l'affaire.
Ces pépites d'informations sont collectées par les sociétés de Blockchain Intelligence et stockées pour les références futures."[Nous] construisons une liste noire géante d'adresses de crypto-monnaie", ajoute Redbord.
Ce processus de catégorisation des adresses est effectué en arrière-plan.Les enquêteurs utilisant le logiciel de Blockchain Intelligence saisissent simplement l'adresse correspondant au paiement.Ensuite, ils peuvent voir le flux d'argent numérique.Une valeur précieuse peut être, par exemple, s'il y a eu d'autres paiements à cette adresse.
Les cybercriminels déplacent à plusieurs reprises des fonds dans l'espoir de perdre leur trace, mais ils doivent s'arrêter à un moment donné.Puisqu'il n'y a que peu de choses à faire avec les bitcoins, ils doivent convertir cet argent en monnaie traditionnelle, comme vous.S.dollar.Dans certains cas, les forces de l'ordre peuvent intervenir et saisir l'argent lorsqu'elles entrent dans le monde réel, car la plupart des échanges suivent les règles et réglementations.
"Les forces de l'ordre peuvent obtenir des informations sur qui possède cette adresse de portefeuille, ou qui était associée à cette adresse parce qu'ils ont reçu des informations"."C'est une étape majeure que les forces de l'ordre peuvent franchir."
Tous les échanges ne sont pas conformes.Certains, souvent basés à l'étranger, apprécient plus de l'argent que de faire la bonne chose."Il y en a beaucoup de disposition."Je ne pense pas que les échanges deviennent plus conformes."
Récupération des paiements des ransomwares
Dans certains cas, les organisations qui ont payé la rançon peuvent obtenir au moins une partie de leur argent."Avec Crypto, il est sans doute plus facile de suivre l'argent car chaque transaction se produit sur un grand livre public immuable, où vous pouvez voir chaque transaction, puis tracer le flux de fonds", dit Redbord.
Les chances de récupérer l'argent dépendent de divers paramètres, y compris le temps qui s'est écoulé du paiement au traçage provisoire des fonds, à quelle vitesse les cybercriminels déplacent la crypto-monnaie, les blockchains qu'ils utilisent ou s'ils utilisent un service de mélange.Lorsque les forces de l'ordre sont impliquées, les chances de succès ont tendance à être plus élevées.Les sociétés de Blockchain Intelligence ne peuvent fournir que des informations, tandis que les organismes d'application de la loi ont le pouvoir d'utiliser des assignations et d'autres processus juridiques."Nous avons vu beaucoup de succès dans différents domaines", dit Larratt.
Pourtant, chaque cas est différent, et les chances de récupérer l'argent, au moins en partie, peuvent varier considérablement.Les groupes de ransomwares polissent constamment leurs compétences et se sont multipliés au cours des dernières années."Chaque groupe peut avoir sa propre façon de blanchir le produit du crime", dit Larratt."Cependant, parce que nous sommes à la pointe de cette technologie, nous sommes en mesure de soutenir certaines des investigations les plus sophistiquées et les plus complexes concernant les ransomwares."
Le traçage des transactions Bitcoin est toujours une entreprise complexe, et cela devrait être fait par des experts.Cela ne peut pas être fait par les victimes en interne, dit Sibenik."En général, les grandes entreprises ont du mal à faire des travaux de réponse aux incidents", ajoute-t-il.
Juste un autre programme de blanchiment d'argent
Les entreprises qui fournissent une analyse blockchain disent qu'elles aident à créer une couche de confiance pour la crypto, et cela est bénéfique pour tout le monde, y compris les échanges.Redbord, qui a passé 11 ans à travailler comme procureur fédéral au U.S.Le DOJ et a concentré une grande partie de ce temps sur le financement des menaces, dit que la confiance devrait être un élément central de tout système financier.
"Le blanchiment anti-arone."Il est très important de se conformer aux réglementations, bien sûr, mais en fin de compte, il peut être plus important de construire dans cette couche de confiance, car les gens ne vont pas transformer dans un système financier en qui ils ne font pas confiance."
Larratt espère cependant que l'industrie des crypto-monnaies deviendra également plus réglementée, ce qui pourrait potentiellement freiner la cybercriminalité.Étant donné que l'introduction de nouvelles réglementations sera probablement un processus étape par étape, Chainalysis met un effort dans le réglage fin de son logiciel, visant à aider les enquêteurs à faire de leur mieux en considérant les conditions actuelles."Nous développons constamment de nouvelles techniques et outils pour autonomiser les agents et nous assurer qu'ils peuvent maintenir le même type d'enquête par rapport à ces acteurs", dit-il.
En fin de compte, le déplacement de la crypto-monnaie entre différentes adresses "n'est pas vraiment différent du blanchiment d'argent il y a 15 et 20 ans, en fait que les fonds seraient envoyés à un compte bancaire traditionnel, puis ils seraient encaissés,Et puis ils seraient envoyés sur un autre compte bancaire, puis les fonds seraient envoyés à l'étranger ", dit Larratt.
Les experts sont optimistes, affirmant que nous pourrions voir des cas plus réussis à l'avenir.De plus en plus d'entreprises pourraient récupérer au moins une partie de leur argent, tout comme le pipeline colonial l'a fait."L'analyse de la blockchain, je pense, est un essentiel, mais peut-être parfois une tactique sous-utilisée pour aider à enquêter sur ce type d'activité", dit Larratt.