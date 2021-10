Une valeur de 6,8 millions de dollars de Bitcoin (BTC / USD) détenue par le groupe de ransomware DarkSide, qui a été impliqué dans l’attaque Colonial Pipeline en mai, est en mouvement, a rapporté la société d’analyse Elliptic, citée par CoinDesk. L’analyste associe l’activité à un autre groupe de ransomware : REvil, qui est étroitement lié à DarkSide.

La rançon était inactive jusqu’à hier

Après l’attaque de Colonial, qui a mis en péril les approvisionnements en pétrole de cinq États américains, DarkSide a obtenu environ 5 millions de dollars de rançon. Leur participation n’a pas changé jusqu’au 21 octobre, a écrit Elliptic vendredi sur son blog. Au début, la victime a refusé de payer, mais finalement il l’a fait. Selon des initiés, son plus grand souhait était de restaurer la fonctionnalité du plus grand pipeline des États-Unis.

Portefeuille DarkSide identifié elliptique, les paiements de rançon continuent d’arriver

DarkSide, qui se décrit comme un développeur de « ransomware-as-a-service », a conservé un portefeuille pour sa part de la rançon. Elliptic l’a identifié grâce à l’analyse des transactions blockchain et à la collecte de renseignements. Ce portefeuille a reçu la rançon le 8 mai après la cyberattaque, qui a provoqué des pénuries de carburant dans tout le pays.

Ce portefeuille est actif depuis plus de six mois. Pendant ce temps, il a reçu 57 paiements de 21 portefeuilles différents. Il s’agit notamment de rançons dont on sait qu’elles ont été payées par d’autres victimes du groupe. DarkSide a reçu des transactions Bitcoin d’une valeur totale de 17,5 millions de dollars depuis l’ouverture du portefeuille, a déclaré Elliptic.

Portefeuille DarkSide prétendument revendiqué par REvil

DarkSide a rapporté qu’un tiers inconnu avait réclamé son portefeuille. Ce parti a envoyé 107,8 BTC (6,8 millions de dollars US) à une nouvelle adresse. Cette somme a été envoyée sur une période de quelques heures à travers une série de nouveaux portefeuilles, avec de petites sommes transférées à chaque étape, ce qui rend difficile le suivi des fonds.

Le gouvernement américain force REvil hors ligne

Elliptic associe cette activité au groupe de ransomware REvil, qui a été piraté et contraint de se déconnecter lors d’une opération dirigée par le gouvernement américain cette semaine. Selon Tom Kellermann, responsable de la stratégie de cybersécurité de VMWare, le personnel du renseignement et des forces de l’ordre a empêché le groupe d’infliger d’autres dommages :

Le FBI, ainsi que le Cyber ​​​​Command, les services secrets et des pays partageant les mêmes idées, se sont en fait engagés dans des actions perturbatrices importantes contre ces groupes. REvil était le premier sur la liste.

