Sextorsion épisode 3 : prends l'argent !
Cet article est la traduction de « Sextortion: Follow the Money Part 3 - The cashout begins! », rédigé le 1er février 2019 par M. Rick Wanner pour le SANS ISC. Dans la présente traduction, lorsque l'article original contient un lien, nous pouvons avoir ajouté un second lien vers une traduction en français. L'utilisation de la première personne signifie que c'est l'auteur originel, M. Wanner, qui s'exprime.
Il n'y a pas eu beaucoup à dire ces derniers mois depuis les dernières mises à jour de « Sexploitation : prends l'argent » présentés dans les Note 1 et Note 2. Pour ceux qui n'ont pas lu ces notes, lorsque les campagnes de sextortion ont débuté en juillet, j'ai demandé aux lecteurs de l'ISC de me transmettre les adresses Bitcoin extraites de ces campagnes afin que nous puissions suivre les paiements effectués sur ces portefeuilles. Lors de la dernière mise à jour de septembre, de nombreux imitateurs étaient apparus, mais les versements associés à la première campagne étaient toujours dans les portefeuilles utilisés initialement.
Depuis cette mise à jour de septembre, nous n'avons pas identifié de nouveaux versements sur les portefeuilles Bitcoin de la campagne originelle. Je piste actuellement 434 adresses BTC. Il y a eu 143 versements sur 56 adresses, pour un total d'environ 108 000 dollars. La valeur était alors environ le triple d'aujourd'hui, ce qui nous a amené à supposer que les individus derrière cette opération attendaient que le cours du bitcoin remonte pour collecter l'argent. Il semble que, finalement, leur patience soit épuisée.
Sur les dernières semaines, l'argent a commencé à bouger. Nous avons toujours considéré que les 400 et quelques adresses BTC identifiées n'étaient qu'une fraction de toutes celles utilisées pour la campagne originelle. La consolidation de ces bitcoins, probablement avec l'intention de les ramener dans le monde réel, donne un nouvel éclairage de l'ampleur de la campagne.
Parmi tous les portefeuilles suivis, 6 ont été totalement vidés par des transferts vers d'autres portefeuilles BTC. Le schéma ci-dessous montre comment ces six portefeuilles ont été vidés et comment les bitcoins ont été déplacés, puis consolidés dans deux portefeuilles.
Ce n'est pas forcément très lisible, mais l'important est que ce diagramme montre que les bitcoins ont été consolidés, au travers de portefeuilles intermédiaires, vers deux adresses. 1AdDewXEgRFdsXh73CxQp59S4j4efGsqQb contient environ 21,5 millions de dollars, et 3JRQWBg5TnMHUzzhUhMPCJNCMNW6cZWWP5 qui contient environ 18,5 millions de dollars. L'entreprise est, sans conteste, lucrative. Gardez à l'esprit que les sommes transférées depuis ces six adresses bitcoin ne représentent guère que 14% des versements, soit environ 15000 dollars sur les 108 000 que je piste. Nous pouvons présumer que ce n'est que le début d'une opération de consolidation de grande ampleur. Cela suggère aussi que les presque 40 millions de dollars consolidés jusqu'à présent ne représentent qu'une petite portion du résultat net de cette campagne.
Il reste encore un dernier point très intéressant. Les bitcoins consolidés dans ces deux portefeuilles ont eux aussi commencé à être déplacés, comme on peut s'y attendre. Dans ces déplacements, les totaux ont été de nouveau fragmentés en plus petits montants. Notre hypothèse est que cette fragmentation vise à permettre de passer au travers de mixers, afin de briser la connexion entre l'origine des bitcoins et le point où ils seront transformés en liquidités, en les mélangeant avec d'autres bitcoins. À tous égards, c'est une opération de blanchiment de ces sommes. J'ai pu trouver quelques entités proposant ce service, dont bestmixer.io et mix.io. Pour moins de 0,25% des sommes concernées, ils vont mélanger vos bitcoins avec d'autres et vous restituer des bitcoins propres en fin d'opération.
Une image provenant de bestmixer.io :
C'est un autre service indispensable pour une entreprise criminelle numérique.