Ransomware : l’université de Maastricht récupère une partie de la rançon
L’université avait frappé fin 2019 avec le ransomware Cl0p et avait décidé de verser près de 200 000 € pour accélérer la restauration initiale de ses systèmes. Une partie de la rançon a été saisie. Le fruit de la transparence.
Nos confrères de deVolksrant viennent de révéler qu’une partie de la rançon payée par l’université de Maastricht fin 2019, à la suite d’une cyberattaque impliquant le ransomware Cl0p, a pu être recouvrée.
C’est la partie de la rançon qui avait été confiée à un Ukrainien impliqué dans des opérations de blanchiment qui a été récupérée. Nos confrères précisent que la personne en question a été interrogée par les forces de l’ordre en Ukraine courant 2021.
La totalité de la somme versée en bitcoins n’a donc pas été saisie. Mais celle qui l’a été avait suffisamment gagné en valeur pour plus que compenser le manque à gagner induit par une saisie seulement partielle : ce qui valait 40 000 euros fin 2019 valait plus de 500 000 euros deux ans plus tard.
Pour mémoire, l’université de Maastricht a été frappée par un rançongiciel tout juste avant Noël 2019. Le mercredi 5 février suivant, elle organisait une conférence retransmise sur Internet pour partager son expérience et souligner les leçons qui en avaient été retirées. L’exercice était d’autant plus remarquable que la direction de l’université avait choisi de régler la rançon demandée : 30 bitcoins.
Les assaillants avaient chiffré 267 serveurs. Afin d’éviter de pénaliser notamment les étudiants et les travaux de recherche, la décision – présentée comme réellement lourde et difficile – avait été prise de payer la rançon demandée. Après avoir vérifié que les assaillants disposaient d’un outil de déchiffrement fonctionnel, le montant demandé avait été réglé le 30 décembre 2019.
La transparence adoptée par l’université de Maastricht a donc payé : forts des informations relatives au paiement de la rançon, les autorités néerlandaises ont pu suivre les mouvements financiers ayant suivi. Et remonter, en collaboration avec les forces de l’ordre ukrainiennes, jusqu’à l’un des acteurs impliqués.
Ce suivi est un élément crucial dans les enquêtes sur les cyberattaques avec rançongiciels. Les cybercriminels tentent bien de brouiller les pistes, mais un succès relativement limité à ce jour. Ils essaient notamment de passer à d’autres cryptoactifs que le Bitcoin, mais sans trop de réussite.
Le cas de l’université de Maastricht n’est d’ailleurs pas isolé. L’été dernier, le ministère américain de la Justice a réussi à récupérer une partie de la rançon versée par Colonial Pipeline après avoir été attaquée avec le ransomware DarkSide. Les éléments rendus publics sur cette opération suggèrent qu’il s’agissait de la part dévolue à l’affidé ayant effectivement conduit l’attaque.