La valeur du bitcoin est-elle liée aux ransomwares ?

CARBONITE - avril 2021 - Par Kyle Fiehler

Avec des investissements actuellement en hausses sur le Bitcoin, la grande valeur pousse les cybercriminels à poursuivre les formes crypto-génératrices de cybercriminalité comme avec les ransomware.

Au moment d’écrire ces lignes, la valeur d’un Bitcoin est au environ de 58 000 $. Monnaie volatile, un krach devrait accompagner la bulle actuelle, peut-être avant fin 2021. La raison de cette volatilité est au moins en partie attribuée à un événement connu sous le nom de «réduction de moitié», où la récompense générant l’offre de la crypto-monnaie est réduite de moitié, augmentant simultanément la demande.

Dans le même temps, le coût moyen d’un incident ransomware est également en forte hausse. Une étude de Palo Alto Networks a tracé un taux de croissance de 171 pour cent des rançons payées entre 2019 et 2020, avec le coût moyen maintenant plus de 312 mille dollars. La rançon la plus importante a doublé entre 2015 et 2020, de 15 millions de dollars à 30 millions de dollars.

Une loi de fer ?

Alors, est-il juste de prétendre que les deux tendances sont en corrélation positive ? Lorsque le prix du Bitcoin augmente, devrions nous s’attendre à une activité croissante des ransomwares ? Pas nécessairement, dit tyler Moffitt, chercheur en menaces et expert en crypto-monnaie.

D’une part, Moffitt met en garde qu’il est important de garder une valeurs relatives des dollars américains et des différentes crypto-monnaies lors de la comparaison du coût des ransomwares. Exiger 50 millions de dollars à Monero le mois dernier pour le piratage du fabricant de PC taïwanais Acer et exigeant 10 millions de dollars en Bitcoin pour un hack l’an dernier n’aura pas pour les cybercriminels le même montant.

« Les acteurs de ransomwares peuvent toujours augmenter leurs demandes en fonction de la valeur du dollar américain, dit Moffitt. « Mais ils ont l’avantage supplémentaire d’être en mesure de croître les bénéfices de façon exponentielle en surfant sur le marché du bitcoin. »

Comme on pouvait s’y attendre avec un actif aussi volatil, ces fluctuations se produisent parfois rapidement. Comme quand les acteurs de ransomwares avaient les écoles publiques de Baltimore avec WannaCry. Le prix du Bitcoin s’était effondré en 2018, mais comme la demande de rançon était sur le bureau de la ville, le prix a bondi et la valeur totale de la rançon aussi.

En un sens, c’est la volatilité de Bitcoin qui mine toute relation directe et positive avec les taux de ransomwares. Bien qu’il soit tentant de voir le prix élevé d’aujourd’hui et de supposer que les cybercriminels se précipiteraient pour obtenir leur part de cette tarte, ils savent aussi comment les marchés fonctionnent. Il est possible qu’une rançon de Bitcoin cette année pourrait valoir beaucoup moins l’année prochaine. Pour les acteurs de ransomwares, il est préférable de monter sur le marché avec le traitement de leur cachette à Bitcoin qui serait comme un plan économique de cybercriminalité pour les pirates vieillissants.

« Beaucoup d’acteurs de ransomwares ne font pas transformer leur Bitcoin en espèces dès qu’ils l’obtiennent, d’après Moffitt. « Bon nombre d’entre eux vivent modestement dans l’espoir que les 200 millions de dollars qu’ils ont gagnés au cours de leur carrière dans le cadre de la cybercriminalité leur feront un jour des milliards de dollars. »

Une relation plus directe

Cryptojacking , le processus de détournement secret de la puissance de calcul sur une victime pour générer des crypto-monnaies – a une relation beaucoup plus simple avec la valeur de diverses monnaies. Étant donné que les pirates ne perçoivent leur monnaie qu’après avoir fait leur travail (processeur redirigé dans ce cas), il ne vaut pas la peine de faire cette opération sauf, lorsque les valeurs le justifient.

« Avec le cryptojacking, nous voyons effectivement une augmentation ou une diminution du nombre d’attaques en fonction de son prix. Donc, en ce moment, dans une année haussière où le prix ne cesse d’augmenter, vous allez gagner plus quand le taux est bas », dit Moffitt.

Cryptojacking est basé sur le navigateur et utilise des scripts injectés dans le serveur web, généralement en exploitant un serveur non patché ou en capitalisant sur un plugin WordPress obsolète, etc. Par la suite, n’importe quel navigateur qui visite la page Web minera la crypto-monnaie en utilisant le navigateur des visiteurs. Cette attaque a explosé depuis sa création en 2017 et cela jusqu’en 2018.

Un moment décisif dans le cryptojacking basé sur le navigateur a été le grand crypto-crash de 2018 mentionné ci-dessus. Du moins, selon leur déclaration officielle, la baisse de la rentabilité minière a entraîné la fermeture de la société minière coinhive, début 2019.

« Le « krach » du marché des cryptomonnaies, avec la valeur de [Monero] se dépréciant de plus de 85% au cours de la dernière année », a été cité par la société comme une raison de fermer boutique, bien que certains chercheurs doutent de combien de vérité il y avait a cette revendication.

Ses auteurs ont conclu: « Il est devenu moins attrayant non seulement parce que Coinhive a cessé leur service, mais aussi parce qu’il est devenu une source de revenus moins lucrative pour les propriétaires de sites Web. Pour la plupart des sites Web, les annonces sont encore plus rentables que l’exploitation minière.

Cryptojacking basé sur l’exécution est utilisé par les criminels par la violation d’une machine, que ce soit par phishing, exploits, RDP, puis pour laisser tomber une charge utile qui, lors de l’exécution utilisera les ressources des machines pour extraire crypto. Cette attaque tourne autour des scripts basés sur le navigateur et est toujours présent aujourd’hui. En fait, c’est la tactique qui voit le plus de croissance sur les marchés en hausse des crypto-monnaies.

Monero, crypto-monnaie a été privilégiée par les mineurs en raison de son efficacité à l’aide d’appareils de qualité grand public, a connu un rebond au cours de cette période. Au cours de 2020 et en 2021, la valeur est passée d’environ 50 $ à environ 250 $, expliquant peut-être pourquoi Webroot a trouvé 8,9 millions de scripts cryptojacking en usage en 2020.

En résumé, ces deux systèmes générateurs de cryptomonnaies exigent de la patience. Lorsque les ransomwares donnent lieu à un gros paiement d’une entreprise extorquée, ils peuvent être forcés à attendre les forces du marché pour maximiser leurs gains. Pour les cryptojackers, les profits se multiplies au fil du temps. Tout d’abord, ils doivent déterminer s’ils en valent la peine et s’ils veulent eux aussi jouer sur une longue durée avec leur prise.