ESET et la police néerlandaise dénoncent les opérations de vol de cryptomonnaie du botnet Ebury
Les spécialistes néerlandais de la cybersécurité ont associé un vol majeur de cryptomonnaie au tristement célèbre botnet Ebury, responsable de la compromission de plus de 400 000 serveurs sur une période de 15 ans.
Selon un rapport de la société slovaque de cybersécurité ESET, l'incident a été initialement découvert lors d'une enquête menée en 2021 par l'Unité nationale néerlandaise de lutte contre la criminalité dans les hautes technologies (NHTCU). Au cours de cette enquête, les agents ont trouvé le botnet Ebury sur un serveur lié au vol de crypto.
Après cette révélation, la cellule criminelle néerlandaise a collaboré avec l'ESET, dirigé par le chercheur Marc-Etienne Léveillé, qui étudiait Ebury depuis plus d'une décennie.
Les opérateurs d’Ebury auraient utilisé une attaque sophistiquée appelée Adversary-in-the-Middle (AitM) pour voler les fonds cryptographiques. L'attaque se produit lorsque le botnet intercepte le trafic réseau et capture les informations de connexion et les informations de session.
« Le vol de crypto-monnaie n'était pas quelque chose que nous avions jamais vu faire auparavant », a noté Léveillé.
Le botnet redirige ce trafic vers des serveurs contrôlés par les cybercriminels, leur permettant d'accéder et de voler des cryptomonnaies dans les portefeuilles des victimes. Dans son rapport, ESET a révélé que plus de 100 000 personnes restaient infectées en 2023.
Ebury cible spécifiquement les nœuds Bitcoin et Ethereum, en s'emparant de portefeuilles et d'autres informations d'identification précieuses. Le botnet volerait les fonds une fois que les victimes sans méfiance auraient saisi leurs informations d'identification sur le serveur infecté.
Organigramme de l'attaque d'Ebury contre les portefeuilles cryptographiques | Source : welivesecurity
De plus, une fois le système d'une victime compromis, Ebury exfiltrait les informations d'identification et les utilisait pour infiltrer les systèmes associés. Le rapport a identifié un large éventail de victimes, allant des universités aux entreprises, en passant par les fournisseurs de services Internet et les commerçants de crypto-monnaie.
Les attaquants utilisent également des identités volées pour louer des serveurs et déployer leurs attaques. Il est donc très difficile pour les forces de l’ordre de retrouver l’identité des responsables de ce racket cybercriminel.
« Ils sont vraiment doués pour brouiller les attributions », a ajouté Léveillé.
Un opérateur d'Ebury, Maxim Senakh, a été arrêté à la frontière finno-russe en 2015 et extradé vers les États-Unis. Le ministère américain de la Justice a accusé Senakh de fraude informatique, pour laquelle il a plaidé coupable en 2017. Il a été condamné à quatre ans de prison.
Alors que les cerveaux derrière Ebury restent en liberté, le NHTCU a révélé que plusieurs pistes étaient en cours.
Les vols de cryptomonnaies sont devenus de plus en plus compliqués au fil des années. Plus tôt ce mois-ci, des pirates nord-coréens ont utilisé une nouvelle variante de malware baptisée « Durian » pour cibler des attaques contre au moins deux sociétés de crypto-monnaie.
Avant cela, un rapport de janvier de la société de cybersécurité Kaspersky avait révélé qu'un malware ciblait les portefeuilles de crypto-monnaie sur MacOS.
