sextortion
Produits et Services PRODUITS & SERVICES

Campagnes d’arnaques par “sextorsion” : mais où va l’argent ?

Les cryptomonnaies utilisées dans les arnaques par sextorsion sont ensuite envoyées vers des portefeuilles liés au cybercrime et à d’autres activités sur le Dark Web.

Des millions de messages d’arnaques par “sextorsion” envoyés entre le 1er septembre 2019 et le 31 janvier 2020 ont généré près d’un demi-million de dollars de bénéfices pour les cybercriminels sur Internet. Les messages indiquaient aux destinataires que leurs ordinateurs avaient été piratés, que l’expéditeur avait capturé des vidéos d’eux en train de visiter des sites pornographiques, et menaçaient de partager les vidéos en question avec leurs “amis” si ces derniers ne payaient pas, exigeant le transfert vers une adresse de portefeuille d’une somme pouvant aller jusqu’à 800 USD (environ 740€) en Bitcoin (BTC).

Les flux générés par cette monnaie numérique révèlent que de nombreux opérateurs se cachant derrière ces arnaques par sextorsion sont connectés à une économie numérique cybercriminelle beaucoup plus vaste. Bien que certains petits acteurs soient impliqués dans ces campagnes de spam, les mouvements de BTC vers un bon nombre de ces portefeuilles montrent que les campagnes sont liées à d’autres entreprises criminelles, soit en finançant d’autres activités illégales soit en fournissant un moyen de convertir les BTC en espèces sonnantes et trébuchantes.

sextortion

Un exemple de message de sextorsion envoyé pendant cette campagne.

Nous avons partagé les données de portefeuille extraites suite à ces campagnes de spam avec CipherTrace, Inc., afin d’obtenir plus d’informations sur les flux de devises numériques qui étaient connectés à ces dernières. Les adresses de portefeuille utilisées par les cybercriminels pour récupérer les paiements effectués par les victimes se sont avérées être impliquées dans des transactions avec des marketplaces sur le Dark Web, avec des revendeurs de données de cartes de crédit volées et avec d’autres éléments de l’économie cybercriminelle. D’autres fonds ont été, quant à eux, rapidement transférés via une série d’adresses de portefeuille afin d’être regroupés, sont passés ensuite par des “mixeurs” pour tenter de blanchir les sommes liées à ces transactions, et ont été convertis en espèces, biens et services en utilisant d’autres canaux.

Bien que les arnaques par sextorsion ne soient guère innovantes en tant que telles, le flux de cryptomonnaie n’était pas l’unique signe qui suggérait une certaine sophistication utilisée par quelques attaquants. Beaucoup de messages s’appuyaient sur un certain nombre de méthodes d’obfuscation techniquement intéressantes pour essayer de contourner les filtres anti-spam. Ainsi, la grande majorité des destinataires n’ont jamais vu les messages et par conséquent n’ont pas payé la rançon demandée, mais suffisamment les ont vus et sont tombés dans le piège en envoyant vers les portefeuilles associés aux messages en question 50,98 BTC sur une période de cinq mois. Au final la somme totale engrangée représentait environ 473 000 $ (soit environ 436 000€), sur la base d’une valeur journalière moyenne au moment où les paiements ont été effectués, soit une moyenne de 3 100 $ (soit à peu près 2900€) par jour.

Une pluie de spams

Les messages de sextorsion sont les outils de base utilisés par les cybercriminels novices sur Internet. Ils nécessitent relativement peu de compétences techniques pour être envoyés et ne nécessitent pas de compromettre véritablement l’ordinateur de la victime. En effet, les adresses email ciblées par l’arnaque en question et les mots de passe envoyés aux victimes comme preuve ont été récupérés à partir d’identifiants et de mots de passe publiés lors d’anciennes violations de sites Web, et largement diffusés sur Internet (rappel : l’utilisation de gestionnaires de mots de passe, la non-réutilisation des mots de passe entre les comptes et l’utilisation de services tels que HaveIBeenPwned.com ou Google Password Checkup peuvent protéger les internautes contre l’utilisation d’anciens mots de passe par des cybercriminels) .

La rentabilité des arnaques par sextorsion comparée à celle des campagnes sophistiquées basées sur les ransomwares (qui peuvent rapporter des millions de dollars en cryptomonnaie en ciblant une seule victime) est relativement faible. Mais elles restent tout de même une source de revenus importante pour les spammeurs qui les utilisent, et leur coût de fonctionnement est relativement faible. Elles fournissent également un flux régulier de revenus pour les opérateurs de botnets dont les réseaux d’ordinateurs compromis agissent comme une rampe de lancement pour déployer de telles campagnes.

Entre le 1er septembre 2019 et le 31 janvier 2020, nous avons assisté à une série de pics inhabituels au niveau du trafic de messages d’arnaques par sextorsion. Comme avec de nombreux autres types de campagnes de spam, les messages de sextorsion sont arrivés par rafales relativement courtes plutôt que par un flux continu. Mais ces salves, en particulier, représentaient une très grande partie du trafic de spams que nous avons observé au cours de cette période. Alors que le phénomène de sextorsion représentait en moyenne 4,23% de tout notre trafic de spams observé au cours de cette période, durant précisément cinq jours elle a représenté plus d’un cinquième de tous les spams que nous avons observés. Et les emails de sextorsion sur seulement trois jours en octobre dernier représentaient plus de 15% de tous les spams entre septembre et janvier.

Nous avons observé une dizaine de “pics”, la plupart durant l’automne. Ces derniers ont généralement duré de 1 à 3 jours, et plus de la moitié d’entre eux se sont produits pendant le week-end (vendredi, samedi et dimanche). Alors que les campagnes représentaient un volume faible en décembre, elles ont repris entre le 24 et le 26, montrant ainsi que les cybercriminels préféraient à priori envoyer leurs messages lorsque leurs cibles n’étaient pas présentes sur leurs lieux de travail. On a pu constater néanmoins une exception à cette tendance, à savoir un pic le 8 janvier qui consistait principalement en une campagne de messages d’extorsion écrits en allemand.

sextortion

Comme pour de nombreuses campagnes de spam, les messages de sextorsion ont été envoyés à partir de botnets utilisant des ordinateurs personnels compromis partout dans le monde : des ordinateurs au Vietnam fournissant la plus grande part d’entre eux (7%). Certains des messages mettaient en œuvre de nouvelles méthodes utilisées par des spammeurs chevronnés pour échapper aux logiciels de filtrage.

Alors que nous avions pu observer lors de campagnes précédentes l’utilisation d’images pour afficher la demande d’extorsion afin d’échapper à la détection de texte, nous avons trouvé, dans les vagues de septembre à janvier, très peu d’exemples d’obfuscation utilisant des images. Au lieu de cela, les spammeurs ont utilisé diverses autres techniques pour masquer le texte de leurs messages, empêchant ainsi la détection par de simples analyseurs :

  • La séparation des mots avec des chaînes aléatoires invisibles.

sextortion

En haut : message vu par le destinataire. En bas : texte codé dans les données du message.

  • L’utilisation de caractères non ASCII encodés (tels que des lettres cyrilliques) qui ressemblent pour les humains aux caractères “normaux”, mais s’avèrent être complètement différents lorsqu’ils sont lus par une machine :

sextortion

En haut : message vu par le destinataire. En bas : texte codé dans les données du message.

  • L’utilisation de texte blanc invisible et inutile pour découper le texte du message.

sextortion

En haut : message vu par le destinataire. En bas : texte codé dans les données du message.

  • Dans un message (l’exemple est illustré plus haut dans cet article), le texte du message était “masqué” dans des balises de style HTML en dehors du corps du message.

sextortion

Gauche : message tel que vu par le destinataire. À droite : encodage HTML du message, affichant le contenu dans des balises de “style”.

Un business basé sur la peur

En plus d’une menace souvent obfusquée, chacun de ces emails contenait une adresse de portefeuille Bitcoin que les victimes pouvaient utiliser pour payer la rançon demandée. De toute évidence, tous les efforts déployés pour effrayer les victimes et les inciter à payer ont été vains. En effet, alors que nous avons identifié près de 50 000 adresses de portefeuille Bitcoin uniques dans les messages de sextorsion que nous avons interceptés, seulement 328 ont reçu des paiements à un moment donné jusqu’au début du mois de février, signifiant ainsi que seulement 0,5% des messages ont convaincu les destinataires de payer.

sextortion

sextortion

Bien que représentant une fraction relativement infime du total, ces adresses de portefeuille ont reçu plus de 96 BTC, ce qui vaut (ou valait) quelques centaines de milliers de dollars, selon le moment où nous avons vérifié le taux de conversion BTC/USD.  A noter, cependant, qu’une partie de cette activité était antérieure aux campagnes de spam en question.

L’examen des paiements effectués pendant les campagnes de sextorsion peut donner une image plus précise de la rentabilité globale. Au cours de cette période de cinq mois, 261 des adresses de portefeuille ont reçu 50,98 BTC. Multiplié par la moyenne du cours journalier au moment du paiement, cela représentait 472 740,99 $ (soit environ 435 662,86€), qui semble être la somme la plus proche de celle totale réellement payée par les victimes. En moyenne, les portefeuilles actifs ont reçu 0,19534962 Bitcoin par adresse, soit 1811,27 $ (soit à peu près 1669,21€).

Les opérateurs utilisaient régulièrement de nouvelles adresses de portefeuille à chaque nouvelle campagne. La durée de vie moyenne de toutes les adresses trouvées dans les messages de sextorsion était de 2,6 jours avant de disparaître du paysage. Les 328 portefeuilles “gagnants“, à savoir ceux qui ont reçu des paiements, avaient une durée de vie plus longue, d’une durée moyenne de 15 jours.

Grâce à notre collaboration avec CipherTrace, nous avons pu déterminer que les 328 adresses Bitcoin avec un historique de paiements étaient connectées à 162 clusters d’adresses liés à des portefeuilles Bitcoin individuels. Alors que la majorité de ces portefeuilles n’avaient qu’une seule adresse, nous avons découvert que 4 portefeuilles étaient associés à plus de 10 adresses, présentes sur notre liste.

Laissez les BTC couler à flots

Sur les 328 adresses “actives” que nous avons identifiées, CipherTrace a découvert que 12 d’entre elles étaient connectées à des plateformes d’échange de cryptomonnaie en ligne ou à d’autres services de portefeuille. Certaines de ces plateformes d’échange avaient été précédemment identifiées par CipherTrace comme étant des services d’échange “à haut risque” avec peu de critères permettant de véritablement “connaître son client“, les rendant ainsi particulièrement adaptées aux opérations de blanchiment de cryptomonnaie lancées par les cybercriminels. Ces adresses précédemment identifiées n’ont pas été utilisées pour retracer davantage le flux des fonds provenant de ces campagnes. En effet, ces plateformes d’échange regroupent souvent les fonds de leurs clients au niveau des versements effectués, rendant ainsi impossible le suivi spécifique de transactions au niveau de la blockchain.

Le produit CipherTrace Inspector a identifié 476 transactions sortantes à partir des 316 adresses. Les destinations les plus fréquentes pour les transactions étaient :

  • Binance : une plateforme mondiale d’échange BTC (70 transactions).
  • LocalBitcoins : une autre plateforme d’échange BTC (48 transactions).
  • Coinpayments : une passerelle de paiement BTC (30 transactions).
  • D’autres portefeuilles intégrés à la campagne de sextorsion, avec un regroupement des fonds (45 transactions).
  • 54 transactions vers des adresses qui n’ont pas pu être identifiées, probablement des portefeuilles privés non hébergés.

Il est important de souligner que les plateformes d’échange mentionnées ci-dessus (ainsi que d’autres plateformes) participent malgré elles aux versements des fonds. En raison de la conception même des blockchains, il n’y a aucun moyen pour ces dernières de bloquer les versements effectués vers leurs adresses.

Dans l’ensemble, les paiements provenant des portefeuilles de sextorsion ont été repartis comme indiqué ci-dessous :

sextortion

Versements effectués en BTC à partir de portefeuilles liés à la sextorsion (%).

CipherTrace a effectué une analyse plus approfondie des 316 adresses en traçant les autres adresses qui leur sont connectées via des transactions, en faisant apparaître un maximum de 3 “pics” de transactions à partir de l’adresse d’origine. Parmi ces adresses, 305 avaient au moins une transaction sortante. La trace de ces transactions a révélé 7 groupes distincts de clusters d’adresses au sein du groupe étudié, liés entre eux par des transactions. Dans certains cas, ces clusters étaient liés à d’autres transactions cybercriminelles :

sextortion

Un cluster de portefeuilles lié à la sextorsion est à l’origine d’une transaction avec WallStreetMarket, un marché “darkweb” qui vend des données de cartes de crédit volées, des médicaments et bien plus encore.

sextortion

Les portefeuilles de sextorsion étaient liés à des portefeuilles visant au regroupement de fonds, notamment les paiements émanant d’Hydra Market (en langue russe) et de FeShop, un marketplace regroupant des cartes de crédit.

sextortion

Un portefeuille de sextorsion était lié à une transaction Bitcoin liée à un vol en 2019 au niveau de la plateforme d’échange Binance.

Il existait 13 adresses parmi les 328 transmises à CipherTrace qui n’avaient pas de transactions sortantes traçables. Mais pour les autres, l’individu qui gérait les portefeuilles n’a pas laissé son butin en cryptomonnaie reposer bien longtemps. Sur la base de la date de la première transaction entrante (lorsque la première transaction suite à une extorsion a eu lieu) et de la dernière sortante (lorsque le dernier Bitcoin du portefeuille a été prélevé) au niveau de chacun des 305 portefeuilles restants, CipherTrace a calculé une “durée de vie moyenne” d’environ 32,28 jours.

En supprimant du groupe les portefeuilles non représentatifs avec de longues durées de vie, à savoir 9 adresses qui ont duré plus de 200 jours, la majorité des adresses avaient une durée de vie moyenne de 19,93 jours. Pour 143 de ces adresses, où il n’y avait qu’une seule transaction entrante et sortante, les portefeuilles ont été vidés en moyenne dans les 8 jours, à l’exception de deux qui n’ont pas été utilisés pendant plus de 100 jours.

Où est l’argent maintenant ?

Suite à ces arnaques par sextorsion, suivre le chemin, au niveau mondial, emprunté par l’argent reste une tâche difficile. Sur les 328 adresses fournies, CipherTrace a déterminé que 20 d’entre elles étaient associées à des données IP, mais ces adresses étaient connectées à des VPN ou à des nœuds de sortie Tor, elles ne permettaient donc pas de géolocaliser leurs propriétaires.

L’endroit exact où le retrait des fonds des portefeuilles se produit peut parfois donner un indice sur l’emplacement des fraudeurs, car certaines plateformes d’échange restreignent les blocs d’adresses Internet à partir desquels elles peuvent être consultées. Mais même les restrictions géographiques au niveau de certaines des plateformes utilisées sont inefficaces pour localiser les personnes se cachant derrière ces portefeuilles, et ce toujours pour la même raison : les VPN ou Tor peuvent être utilisés pour contourner les restrictions basées sur l’IP au niveau de ces plateformes. La plupart des versements effectués ont pris le chemin de plateformes mondiales d’échange.

Étant donné que certains des transferts ont été utilisés pour obtenir des données de carte de crédit volées ou d’autres services cybercriminels, et probablement toujours plus de services de botnets pour l’envoi de spams, les paiements des campagnes de sextorsion semblent bel et bien financer une nouvelle série d’escroqueries et de fraudes. Après tout, même dans le monde cybercriminel, vous devez dépenser de l’argent pour gagner de l’argent.

Sophos tient à souligner la contribution des analystes de CipherTrace, Inc. à l’élaboration de ce rapport.

sextortion

Cliquez pour obtenir une version plus grande de cette infographie.

Billet inspiré de Following the money in a massive “sextortion” spam scheme, sur le Blog Sophos.