L'écosystème trouble des paiements de ransomware est mis en lumière dans une nouvelle recherche menée par Damon McCoy, professeur adjoint d'informatique et d'ingénierie à la NYU Tandon School of Engineering. Attaques de ransomwares, qui cryptent et tiennent en otage les fichiers d'un utilisateur d'ordinateur en échange d'un paiement, extorquer des millions de dollars à des particuliers chaque mois, et constituent l'une des formes de cyberattaque à la croissance la plus rapide.

Dans un article dont la présentation est prévue au Symposium IEEE sur la sécurité et la confidentialité en mai, McCoy et une équipe comprenant des chercheurs de l'Université de Californie, San Diego; Université de Princeton; Google; et la société d'analyse blockchain Chainalysis fournissent le premier compte rendu détaillé de l'écosystème de paiement des ransomwares, de l'attaque initiale au retrait.

Les principaux résultats incluent la découverte que les Sud-Coréens sont touchés de manière disproportionnée par les campagnes de ransomware, avec une analyse révélant que 2,5 millions de dollars sur les 16 millions de dollars de paiements de ransomware suivis par les chercheurs ont été payés en Corée du Sud. Les auteurs de l'article demandent des recherches supplémentaires pour déterminer la raison pour laquelle tant de Sud-Coréens sont victimes et comment ils peuvent être protégés.

L'équipe a également découvert que la plupart des opérateurs de ransomware utilisaient un échange de bitcoins russe, BTC-E, pour convertir des bitcoins en monnaies fiduciaires. (Le BTC-E a depuis été saisi par le FBI.) Les chercheurs estiment qu'au moins 20, 000 personnes ont effectué des paiements de ransomware au cours des deux dernières années, à un coût confirmé de 16 millions de dollars, bien que le total du paiement réel soit probablement beaucoup plus élevé.

McCoy et ses collaborateurs ont profité de la nature publique de la technologie blockchain bitcoin pour retracer les paiements de rançon sur une période de deux ans¬. Les bitcoins sont la devise la plus courante des paiements de ransomware, et parce que la plupart des victimes ne les possèdent pas, l'achat initial de bitcoins fournit un point de départ pour le suivi des paiements. Chaque victime de ransomware se voit souvent attribuer une adresse de paiement unique qui renvoie vers un portefeuille bitcoin où la rançon est collectée. L'équipe de recherche a exploité les rapports publics d'attaques de ransomware pour identifier ces adresses et les corréler avec les transactions blockchain.

Pour augmenter le nombre de transactions disponibles pour l'analyse, l'équipe a également exécuté de vrais binaires de ransomware dans un environnement expérimental contrôlé, devenant essentiellement des victimes elles-mêmes et effectuant des micropaiements sur de vrais portefeuilles de rançon afin de suivre la piste du bitcoin. "Les opérateurs de ransomware dirigent finalement le bitcoin vers un compte central qu'ils encaissent périodiquement, et en injectant un peu de notre propre argent dans le flux plus large, nous pourrions identifier ces comptes centraux, voir les autres paiements affluer, et commencer à comprendre le nombre de victimes et le montant d'argent collecté, " a déclaré McCoy.

L'équipe de recherche a reconnu que les problèmes éthiques empêchent l'exploration de certains aspects de l'écosystème des ransomwares, y compris la détermination du pourcentage de victimes qui paient réellement pour récupérer leurs fichiers. McCoy a expliqué que malgré la possibilité de vérifier l'activité liée à une adresse de paiement spécifique, cela ferait effectivement « démarrer l'horloge » et pourrait amener les victimes à payer une double rançon ou à perdre la possibilité de récupérer complètement leurs fichiers.

L'utilisation criminelle des crypto-monnaies est l'un des axes de recherche de McCoy. Lui et ses collègues chercheurs ont précédemment suivi les trafiquants d'êtres humains grâce à leur utilisation de la publicité Bitcoin.