Barracuda full logo

Threat Spotlight : Attaques à des fins d’extorsion

Thèmes:
12 juil. 2023
|

Les tentatives d’extorsion, une forme d’escroquerie par e-mail de plus en plus courante, consistent à menacer la cible de diffuser des informations compromettantes, comme une photo embarrassante, et à demander un paiement en cryptomonnaie pour empêcher leur publication. Souvent, les pirates achètent les identifiants de connexion des victimes ou les obtiennent lors d’une violation de données afin de « prouver » que leur menace est réelle.

Afin de mieux comprendre l’infrastructure financière utilisée par les pirates lors des attaques d’extorsion, Barracuda s’est joint récemment aux chercheurs de Columbia pour analyser plus de 300 000 e-mails identifiés comme des tentatives d’extorsion par les détecteurs basés sur l’IA de Barracuda Networks sur une période d’une année.

Nous avons pu établir que le nombre de pirates à l’origine de la plupart des e-mails d’extorsion était relativement restreint. En effet les 10 premières adresses bitcoin figurent dans environ 30 % des e-mails, et les 100 les plus utilisées sont associées à environ 80 % des e-mails.

Nous avons également constaté que le montant demandé lors des attaques d’extorsion restait faible : 25 % des e-mails demandent un montant inférieur à 1 000 dollars, et plus de 90 % demandent un montant inférieur à 2 000 $.

Nous vous proposons de découvrir ci-dessous la monnaie utilisée lors de ces attaques, l’utilisation que les pirates font des adresses bitcoin, le volume d’e-mails envoyés, ainsi que les montants demandés.

Cryptomonnaies utilisées par les pirates à des fins d’extorsion

Dans notre jeu de données, la seule cryptomonnaie utilisée par les pirates est le bitcoin. Nous n’avons détecté aucun cas impliquant d’autres cryptomonnaies comme l’ether, le litecoin ou le monero. Les pirates préfèrent sans doute le bitcoin comme moyen de paiement de la rançon pour plusieurs raisons. Le bitcoin est perçu comme anonyme, les transactions sont réalisées à l’aide d’une adresse de portefeuille, et chacun est libre d’en générer autant qu’il le souhaite.

En outre, l’infrastructure autour du bitcoin est bien développée, ce qui permet aux victimes d’en acheter facilement, et aux attaquants d’anonymiser leur action grâce aux « mixers » (services conçus pour combiner aléatoirement et fractionner plusieurs portefeuilles afin de masquer l’historique des transactions). Pour finir, il est à noter qu’en raison du caractère public des blockchains, il est facile de vérifier si la victime a payé ou non, ce qui n’est pas le cas des transactions classiques.

exemple d’extorsion

Analyse des adresses bitcoin

Même si le bitcoin est anonyme, l’analyse des adresses bitcoin utilisées par les pirates pour envoyer leurs e-mails d’extorsion nous révèle plusieurs informations fort intéressantes au sujet des pirates et de leur comportement. Par exemple, si la même adresse a été utilisée dans plusieurs attaques par e-mail visant les utilisateurs Barracuda, nous pouvons conclure qu’il s’agit du même pirate (ou groupe de pirates), même s’il nous est impossible de connaître son identité.

Pour réaliser cette analyse, nous avons regroupé tous les e-mails d’extorsion de notre jeu de données par adresse bitcoin et nous avons comptabilisé les adresses uniques ainsi que les e-mails associés à une même adresse. 

Adresses bitcoin classées par fréquence

Nous avons constaté qu’en effet, les attaques se concentraient autour d’un nombre restreint d’adresses bitcoin. Notre jeu de données compte au total environ 3 000 adresses bitcoin uniques, dont les 10 premières figurent dans environ 30 % des e-mails, et les 100 les plus utilisées sont associées à environ 80 % des e-mails.

Nous pouvons donc en conclure que le nombre de pirates à l’origine de la plupart des e-mails d’extorsion est relativement restreint. Cela nous donne un certain espoir, car si ces pirates peuvent être arrêtés ou que leurs méthodes peuvent être efficacement bloquées, une grande partie de ces menaces pourront être neutralisées.

Analyse croisée des adresses bitcoin et des expéditeurs

Afin de pouvoir corréler e-mails et pirates, nous nous sommes également penchés sur les champs des e-mails. Par exemple, nous avons utilisé le champ « Expéditeur » de chaque e-mail comme proxy pour le pirate. Bien qu’un pirate puisse utiliser différents comptes de messagerie pour envoyer des e-mails, nous savons que si nous recevons plusieurs e-mails du même expéditeur, il s’agit du même pirate.

Nous avons donc regroupé les e-mails par champ « Expéditeur » et nous avons compté les e-mails envoyés par chaque « expéditeur » ainsi que les adresses bitcoin uniques utilisées par chaque expéditeur dans ses e-mails. Pour faciliter la lecture des données de notre analyse, nous avons décomposé les graphiques en fonction du nombre d’e-mails envoyés par l’expéditeur.

Nombre d’adresses bitcoin utilisées

Cette analyse nous révèle plusieurs points intéressants. Premièrement, la plupart des expéditeurs utilisent la même adresse bitcoin pour lancer leurs attaques. Cela est vrai pour les expéditeurs qui envoient un grand nombre d’e-mails, et d’autant plus vrai pour ceux qui envoient de petits volumes. Deuxièmement, sur les 120 000 expéditeurs uniques figurant dans notre jeu de données, moins de 3 000 ont envoyé plus de 10 e-mails. Seuls 8 expéditeurs ont envoyé plus de 500 e-mails.

Nous en déduisons que les pirates ne prennent pas toujours le soin de dissimuler leur identité et qu’ils utilisent, dans la grande majorité des cas, la même adresse Bitcoin pour ces escroqueries. Une fois de plus, la conclusion est plutôt encourageante, dans le sens où ce nombre relativement restreint d’adresses bitcoin (et de pirates) n’est pas impossible à traquer par les forces de l’ordre.

Quel montant les pirates demandent-ils ?

Afin de mieux comprendre le comportement des pirates, nous avons cherché à déterminer le montant qu’ils demandent et la constance de ce dernier dans notre jeu de données. Pour déterminer le montant demandé dans le corps des e-mails, nous en avons extrait les différentes notations monétaires : $, USD, dollar américain, euro, €, GBP, £, etc.

Sur les 200 000 e-mails dont nous avons pu extraire les adresses bitcoin, 97 % demandaient des dollars américains, 2,4 % des euros, et les 0,6 % restants des livres sterling, des dollars canadiens, des bitcoins, etc. Pour les montants extraits exprimés dans une monnaie autre que le dollar USD, nous avons procédé à leur conversion en dollars américains au taux en vigueur à la date où l’e-mail a été envoyé, et ce à des fins de comparaison.

Vous trouverez ci-dessous la répartition des montants. Les résultats sont intéressants :

  • La quasi-totalité des pirates demandent entre 400 et 5 000 $.    
  • 25 % des e-mails demandent un montant inférieur à 1 000 dollars.
  • Plus de 90 % des e-mails d’extorsion demandent un montant inférieur à 2 000 $.
  • La plupart des pirates demandent entre 500 et 2 000 $.
Montant demandé

Nous supposons que le montant demandé par les pirates est essentiellement concentré dans une fourchette « optimale » : il est suffisamment élevé pour rester intéressant pour le pirate, sans toutefois :

  1. Dissuader la victime de payer ;
  2. Pousser la victime à enquêter pour déterminer si le pirate dispose réellement d’informations compromettantes (ce n’est généralement pas le cas) ;
  3. Éveiller la suspicion de la banque qui tient le compte de la victime ou de l’administration fiscale.

Étant donné que le montant demandé lors de ces attaques reste dans une certaine fourchette et que les pirates semblent appartenir à un groupe relativement restreint, nous supposons également qu’ils partagent les mêmes « bonnes pratiques ».

Conclusion

Même si le bitcoin offre un système de paiement quasi anonyme aux pirates, nous pouvons glaner des renseignements importants sur les attaques à des fins d’extorsion en explorant les adresses bitcoin (ainsi que d’autres informations telles que l’expéditeur). Nous en concluons que la menace d’extorsion, si importante qu’elle soit (des millions d’e-mails malveillants envoyés chaque année), est le fait d’un groupe relativement restreint de cybercriminels (nombre inférieur à 100, voire encore moins si l’on suppose qu’ils utilisent plusieurs adresses bitcoin). Nous pensons que les bonnes pratiques et les modèles suivis par ces petits groupes de pirates sont similaires.

Au vu de ces éléments, les perspectives de la lutte contre cette menace par e-mail sont plutôt encourageantes. Premièrement, nous pensons que si les forces de l’ordre parviennent à capturer ne serait-ce que quelques-uns de ces pirates, elles pourront freiner considérablement cette menace. Deuxièmement, étant donné que les pirates semblent s’inspirer les uns des autres et suivre des modèles très similaires, les fournisseurs de solutions de sécurité des e-mails doivent pouvoir neutraliser une grande partie de ces attaques à l’aide de détecteurs relativement simples. Chez Barracuda, en effet, les détecteurs renforcés par l’apprentissage automatique se sont montrés extrêmement efficaces pour identifier ces types d’attaques.

4 mesures pour lutter contre les tentatives d’extorsion

Protection basée sur l’IA – Les pirates adaptent leurs techniques afin de contourner les passerelles de messagerie et les filtres anti-spam. Il est donc impératif de mettre en œuvre une solution efficace contre le spear phishing afin de lutter contre l’extorsion.

Protection contre le piratage de compte – Bon nombre d’attaques d’extorsion proviennent de comptes compromis. Empêchez les escrocs d’utiliser votre entreprise comme site de lancement des attaques. N’hésitez pas à déployer une solution qui s’appuie sur l’intelligence artificielle pour détecter les comptes compromis.

Investigation proactive – Étant donné la nature embarrassante des cas d’extorsion, les collaborateurs de l’entreprise peuvent se montrer réticents à signaler ces attaques. Examinez régulièrement le courrier entrant afin de détecter les e-mails portant sur un changement de mot de passe, une alerte de sécurité, etc.

Formation et sensibilisation à la sécurité - informez vos utilisateurs sur les attaques d’extorsion et intégrez cette thématique dans votre programme de formation et de sensibilisation à la sécurité. Votre personnel doit savoir repérer ces attaques, comprendre leur caractère frauduleux et être prêt à les signaler. Organisez des exercices de simulation d’attaques par hameçonnage pour tester l’efficacité de votre formation et identifier les utilisateurs les plus vulnérables aux attaques d’extorsion.

E-book : 13 types de menaces email à connaître impérativement
Cet article Threat Spotlight a été rédigé par Zixi (Claire) Wang en collaboration avec les chercheurs Josh Haskins, Elisa Luo et Elaine Huang, et les professeurs Asaf Cidon, Ethan Katz-Bassett et Grant Ho.
Billets associés :
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 BarracudaONE: Benefits for one early adopter
BarracudaONE: Benefits for one early adopter
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.