Pour attraper un rançonneur : comment le FBI traque le crime sur la blockchain

L'agent spécial du FBI Joseph Battaglia est assis à un bureau entre un détective de la police de New York et un employé de l'Internal Revenue Service (IRS).

Chargés d'aider à superviser les enquêtes au bureau de New York de la division cybernétique du FBI, Battaglia et ses collègues ont développé des méthodes pour identifier un large éventail d'activités criminelles en ligne, allant de l'utilisation de la pornographie infantile à l'espionnage.

Mais lors d'une récente conférence à la faculté de droit de l'université Fordham de New York, Battaglia a dévoilé un autre type d'enquête. S'adressant à un groupe d'environ 150 étudiants en droit et autres participants à l'initiative inaugurale sur la blockchain organisée par IBM et l'université, Battaglia a expliqué étape par étape comment il identifie les criminels utilisant des rançongiciels à Cryptomonnaie .

La clé pour surmonter une série d’obstacles dans ce processus, a-t-il déclaré, est la collaboration entre quelques organisations publiques et privées clés et une réflexion « hors des sentiers battus ».

Lors de son discours d'ouverture, Battaglia a déclaré au public :

« Je peux utiliser toutes ces méthodes pour identifier réellement mon sujet alors que mon enquête a commencé avec rien de plus qu'une plainte d'une victime qui avait une adresse Bitcoin qui n'avait T encore été utilisée sur la blockchain. »

Tout, a expliqué Battaglia, commence par un seul utilisateur ouvrant son ordinateur et découvrant qu'il a reçu un e-mail l'informant que ses fichiers ont été verrouillés avec un « cryptage de niveau militaire » et ne seront T libérés à moins qu'il ne paie une rançon.

Soixante-quinze pour cent du temps, la Request de rançon est libellée en Bitcoin, a-t-il déclaré, mais d'autres crypto-monnaies ont été utilisées, notamment le Litecoin et le de plus en plus populaireMonero.

En règle générale, la note de rançon comprendra des instructions sur l’achat et la dépense de la Cryptomonnaie de votre choix.

Payer ou ne pas payer ?

À ce stade, la victime doit décider si elle va payer ou non.

Bien que le FBI n'encourage T les gens à céder à de telles demandes, Battaglia a expliqué que les dossiers professionnels sont parfois compromis, ne laissant à la victime d'autre choix que de remettre les fonds pour pouvoir continuer ses activités cruciales.

Ces attaques sont si répandues qu'en 2016, la société de sécurité des données Citrix a publié un rapport montrant que les petites entreprises étaientstockage Bitcoin en cas de demande de rançon. La même année, le Département de la Sécurité intérieure des États-Unis (DHS)financé le développement d'un outil d'analyse Bitcoin spécifiquement destiné aux ransomwares.

Mais même si la victime décide de ne pas payer, le FBI dispose de moyens pour identifier l’ampleur de l’attaque et l’identité de l’auteur, même sur une adresse Bitcoin inutilisée.

« Comme l'adresse n'a T encore été utilisée sur la blockchain Bitcoin », a déclaré Battaglia, « je ne pourrai pas encore obtenir d'informations sur la blockchain. Mais je peux récupérer la demande de rançon et l'insérer dans IC3. »

Fondé en 2000, le Centre de plaintes pour cybercriminalité du FBI (IC3) accepte les signalements de cybercrimes présumés, notamment le vol de propriété intellectuelle, l'espionnage d'entreprise et l'« extorsion en ligne » ou les rançongiciels.

En septembre, IC3 a publié undéclarationencourageant les victimes à signaler les incidents de ransomware au FBI, ajoutant que, au cours des premiers mois de l'année dernière, « les infections mondiales par ransomware ont atteint un niveau record ».

IC3reçuplus de 8 000 plaintes en 2015, avec une perte totale déclarée d'environ 275 millions de dollars.

Même si la rançon n'est T versée, Battaglia a indiqué que son équipe comparerait la demande de rançon avec celles enregistrées chez IC3 afin de rechercher des liens. Dans des cas similaires, avec des demandes similaires, certaines victimes ont pu décider de payer la rançon, ce qui pourrait fournir des données utiles pour les cas où la rançon n'a pas été versée.

Les adresses des victimes ayant payé sont ensuite traitées par l'outil blockchain du FBI pour générer une liste de portefeuilles associés à la même entité qui a émis la demande de rançon. À partir du pool initial d'adresses ayant payé, le FBI recherche ensuite des liens entre le portefeuille du destinataire et ses dépenses.

Bien que les données initiales puissent être limitées, à mesure que davantage de fonds sont dépensés, l'outil accumule davantage de données, y compris celles provenant de «changer d'adresse" qui renvoient les satoshis ou autres dénominations au portefeuille du destinataire d'origine.

« Je pourrais découvrir que ces transactions se produisent dans un autre groupe d'adresses Bitcoin dont T tout », a déclaré Battaglia, « et dont mon outil d'analyse T tout. Mais je peux récupérer ces adresses, les extraire et les intégrer à notre système de gestion des dossiers. »

Le même mais différent

Lors de l'exécution du groupe d'adresses Bitcoin via le système de gestion des cas du FBI, Battaglia a déclaré qu'il rechercherait des cas traités par d'autres agents qui ont recueilli des informations identifiables supplémentaires.

Par exemple, il pourrait s'agir d'un agent du FBI qui travaille avec un « coopérateur sur un marché darknet » et qui sait que les fonds associés aux adresses sont également associés à quelqu'un qui vendextrêmement populaireinformations d'identification du protocole de bureau à distance (RDP) pour accéder à des ordinateurs tiers depuis n'importe où dans le monde.

« Nous avons donc maintenant une idée de ce qui se passe avec le ransomware et peut-être de la manière dont l’intrus est entré dans les ordinateurs des victimes », a déclaré Battaglia.

Avec ces informations, les enquêteurs du FBI retourneraient ensuite voir la victime d’origine pour voir si un RDP était exécuté sur son ordinateur et, si oui, quelles adresses IP apparaissent dans les journaux de l’ordinateur.

Le FBI recherchera non seulement les adresses inconnues de la victime, mais également les adresses connues auxquelles accèdent des utilisateurs qui ne se connectent T habituellement ou qui se connectent à des heures inhabituelles.

Bien que ces informations puissent initialement donner à la victime un moyen de minimiser une attaque supplémentaire en modifiant ses identifiants de connexion, elles ne fourniront T nécessairement beaucoup plus d'informations sur l'auteur. « Je vais donc continuer à chercher sur la blockchain et essayer de trouver des connexions à d'autres portefeuilles ou groupes d'adresses », a-t-il déclaré.

Battaglia commencerait probablement maintenant à rechercher des connexions dans le temps, comme un paiement mensuel effectué à partir de ONEune des adresses Bitcoin suspectes vers une bourse Bitcoin aux États-Unis, sur laquelle il pourrait signifier une assignation à comparaître pour Guides à quoi servent les transactions.

Une fois le bénéficiaire du paiement identifié, l'enquêteur disposera de l'adresse IP d'un serveur virtuel dont le nom et l'adresse sont « probablement faux », a-t-il déclaré. « Je m'attends à ce que ce soit faux. »

L'agitation

À ce stade, l’enquête devient de la vieille école.

Battaglia a déclaré qu'il mettrait ensuite en œuvre des techniques d'enquête « traditionnelles », comme le recoupement des adresses sur un registre IP, comme l'American Registry for Internet Numbers (ARIN) ou la Global IP Address Database, pour tenter d'identifier quelles connexions sont établies avec le serveur.

Mais tout cela ne sert à rien si l’auteur de l’infraction s’est connecté avec succès à un réseau privé virtuel (VPN) protégeant son identité.

L'année dernière, Globalwebindexsignalé Un utilisateur sur quatre utilise un VPN quotidiennement, et 70 % des répondants y accèdent chaque semaine. Aux États-Unis, en Inde et en Malaisie, les chiffres sont encore plus élevés : un utilisateur sur trois utilise quotidiennement un VPN masquant son identité.

Les combattants de la criminalité sont également préoccupés parde plus en plus sophistiqué mélangeurs de Bitcoin qui obscurcissent les sources de Bitcoin et qui étaient la semaine dernière réprimédans le cadre d'une initiative conjointe d'Europol, d'Interpol et de l'Institut de Bâle sur la gouvernance. L'évolution des technologies de Cryptomonnaie pose également problème ; par exemple, Monero, une cryptomonnaie alternative améliorant la confidentialité.n'a T besoin d'être mélangéêtre obscurci.

« Mais les gens deviennent négligents », a déclaré Battaglia.

Les preuves d'un rançonneur qui a cessé de prêter attention aux détails pourraient inclure le fait qu'il se connecte à Internet via des points d'accès Wi-Fi publics, en s'appuyant sur le grand nombre de personnes présentes sur place pour fournir un écran de fumée afin de masquer son identité.

L'agent spécial a déclaré :

« Grâce aux chercheurs que nous avons au bureau, nous pouvons ensuite éplucher toutes ces données, éplucher les bases de données… et suivre des sujets très similaires à ceux que je viens de décrire. »

Au-delà du FBI, au-delà du Bitcoin

Fondée au siège du FBI en 2002, la division cybernétique répartit désormais son travail à peu près également entre les affaires de sécurité nationale et les affaires criminelles, selon Battaglia.

Pour augmenter encore davantage ses chances de succès, l'organisation est composée d'escouades dispersées à travers les États-Unis et a des partenariats avec d'autres agences, notamment la police d'État, l'IRS, les services Secret et « des détectives de toutes sortes d'agences différentes chargées de l'application de la loi », a-t-il expliqué.

Battaglia a également mentionné des partenariats avec des membres du secteur privé, qui aident à identifier les points d'accès utilisés par les criminels ; des « coopératives » qui ont eu des problèmes dans le passé et qui ont ensuite rejoint les enquêtes en tant que « chercheurs indépendants » ; et des attachés juridiques du monde entier.

ONEun des partenaires les plus importants du FBI est le Financial Crimes Enforcement Network, qui a contribué en 2014 à généraliser l'utilisation du Bitcoin lorsqu'il a été déclaré Les échanges de Bitcoin sont légalement considérés comme des émetteurs d'argent et doivent être agréés en tant que tels.

À l'avenir, cependant, Battaglia a déclaré qu'il était prêt à mener des enquêtes sur les applications de la Technologies blockchain au-delà de la simple Cryptomonnaie.

Tant que la Technologies pour soutenir une large gamme d'actifs possiblesinclut des considérations permettant de « l'auditer et de l'inspecter correctement », a déclaré Battaglia, « le fait que tout soit enregistré dans un registre public permanent et non modifiable est très bon du point de vue de la collecte de preuves ».

Le facteur Human

Alors que le FBI a reçu sa part decritiquepour avoirdifficultérésolution des cas de ransomware, startup d'analyse de blockchain Chainalysis l'année dernière préditune augmentation des arrestations en raison de nouveaux partenariats de haute technologie.

Mais c’est à l’intersection entre les outils de haute technologie et les enquêtes à l’ancienne que le patron de Battaglia, l’agent spécial superviseur Jay Kramer, pense que le FBI doit continuer à s’améliorer.

S'exprimant depuis le public lors de l'événement, Kramer a déclaré que le FBI reconnaissait que l'époque où l'on pouvait « accéder au contenu » par le biais d'écoutes téléphoniques était en grande partie révolue.

« Nous savons que nous n'aurons pas accès aux communications chiffrées sur les iPhones, c'est tout simplement impossible », a déclaré Kramer. « Alors, que faisons-nous ? Allons-nous simplement attendre une solution technologique ? Non. »

Kramer a souligné que le FBI doit redoubler d’efforts pour développerHuman ressources:

« Ceux qui veulent signaler au FBI ce qu'ils ont à offrir. Le complice d'un individu mal intentionné va simplement nous donner cette clé privée, au lieu que nous essayions de l'obtenir par des moyens technologiques. »

Images via l'auteur pour CoinDesk