74 % des revenus des ransomwares en 2021 auraient été versés à des pirates informatiques prétendument affiliés à la Russie
selon un rapport de Chainalysis
La société d'analyse blockchain Chainalysis a publié lundi un rapport qui stipule que les cybercriminels prétendument affiliés à la Russie sont à l'origine d'une importante activité de blanchiment d'argent basée sur les ransomwares et les cryptomonnaies. Le rapport indique que plus de 400 millions de dollars en cryptomonnaie, soit environ 74 % des revenus des ransomwares en 2021, sont allés à des entités "hautement susceptibles d'être affiliées à la Russie d'une manière ou d'une autre".
Les cybercriminels russes donnent le ton en matière de ransomware
Chainalysis a présenté lundi dans un billet de blogue un aperçu de l'édition 2022 de son rapport annuel "Crypto Crime Report". Dans cet aperçu, la société a déclaré que la Russie est l'un des principaux pays à avoir adopté les cryptomonnaies, puisqu'elle occupe la 18e place de son index mondial d'adoption des cryptomonnaies. Mais elle ajoute que la façon dont les cryptomonnaies sont utilisées en Russie n'est pas entièrement positive. Selon le rapport, des individus et les groupes basés en Russie représenteraient une part disproportionnée, soit près des trois quarts, de l'activité dans plusieurs formes de criminalité basée sur les cryptomonnaies.
Chainalysis estime en fait que la Russie abrite depuis longtemps certains des hackers les plus compétents au monde. Et selon des enquêteurs en cybersécurité comme Brian Krebs - qui couvre les sujets en rapport avec la vie privée et la sécurité informatique - cela est dû en grande partie à l'excellence de l'enseignement de l'informatique dans le pays, combinée à de faibles perspectives économiques, même pour ceux qui sont compétents dans ce domaine. Ainsi, il n'est pas surprenant que la Russie soit en tête des ransomwares. Chainalysis estime que le degré de domination des souches de ransomware basées en Russie est assez choquant.
Les résultats de l'analyse de Chainalysis révèlent que dans l'ensemble, environ 74 % des revenus générés par les attaques de ransomwares l'année dernière - soit plus de 400 millions de dollars en cryptomonnaie - sont allés à des souches prétendument affiliées à la Russie d'une manière ou d'une autre. Pour obtenir ces résultats, Chainalysis a établi un lien entre certaines souches de ransomware et la Russie sur la base de plusieurs critères. L'un des critères les plus évidents serait l'affiliation à EvilCorp, un groupe de cybercriminels prétendument basé en Russie et soupçonné d'avoir des liens avec le gouvernement russe.
Ensuite, Chainalysis indique qu'une autre indication de liens avec la Russie est le fait que ces groupes n'attaquent pas les pays appartenant à la Communauté des États indépendants (CEI), un bloc qui réunit neuf anciens membres de l'Union soviétique. « De nombreuses souches de ransomware contiennent un code qui empêche le chiffrement des fichiers s'il détecte que le système d'exploitation de la victime est situé dans un pays de la CEI », peut-on lire dans le rapport. Chainalysis ajoute que dans d'autres cas, les cybercriminels soupçonnés d'être affiliés à Moscou ont fourni aux organisations basées dans la CEI des déchiffreurs au lieu de prendre la rançon.
Le troisième indicateur de l'affiliation russe serait la langue d'une souche de ransomware, les paramètres spécifiques à un lieu et d'autres indicateurs reliant les groupes bénéficiaires à la Russie. Le rapport suggère que 26,4 % des revenus des ransomwares sont affiliés à la Russie selon des critères d'évitement de la CEI, tandis que 9,9 % sont allés à EvilCorp, et 36,4 % sont affiliés via d'autres connexions russes. « On estime que 13 % des fonds envoyés par des adresses de ransomware à des services sont allés à des utilisateurs dont on estime qu'ils se trouvent en Russie, soit plus que toute autre région », a ajouté Chainalysis.
Il y aurait également une forte activité de blanchiment d'argent basée sur les cryptomonnaies dans le pays. « Une énorme quantité de blanchiment d'argent basé sur les cryptomonnaies, non seulement des fonds des ransomwares, mais aussi des fonds associés à d'autres formes de cybercriminalité, passe par des services ayant des opérations substantielles en Russie », ajoute la société.
Le blanchiment d'argent basé sur les cryptomonnaies à Moscou
Selon Chainalysis, la Russie abrite plusieurs entreprises de cryptomonnaies qui traitent un volume de transactions important à partir d'adresses illicites. Afin d'illustrer l'ampleur du problème, la société a fait un zoom sur les entreprises dont le siège social ou une présence importante se trouve dans le quartier financier de la capitale, Moscow City. Chainalysis a déclaré qu'il suit plusieurs dizaines d'entreprises de cryptomonnaie opérant dans la seule ville de Moscou et qui faciliteraient le blanchiment d'argent de manière significative. Les données en sa disposition lui ont permis de tirer les conclusions ci-après.
Collectivement, ces entreprises recevraient des centaines de millions de dollars de cryptomonnaie par trimestre, les totaux culminant à près de 1,2 milliard de dollars au deuxième trimestre de 2021. Au cours d'un trimestre donné, les adresses illicites et à risque représenteraient entre 29 % et 48 % de tous les fonds reçus par les entreprises de cryptomonnaie de Moscou. Au total, sur la période de trois ans étudiée, ces entreprises auraient reçu près de 700 millions de dollars de cryptomonnaies provenant d'adresses illicites, ce qui représente 13 % de la valeur totale qu'elles ont reçue au cours de cette période.
Alors, d'où proviennent ces fonds illicites ? D'après le rapport, les escroqueries, avec 313 millions de dollars, et les marchés du darknet, avec 296 millions de dollars, constituent la grande majorité des cryptomonnaies illicites envoyées aux entreprises de cryptomonnaies de la ville de Moscou que Chainalysis suit entre 2019 et 2021. Les ransomwares arriveraient en troisième position avec 38 millions de dollars. Selon la société d'analyse, dans l'ensemble, les entreprises de cryptomonnaie de Moscou qu'elle suit varient considérablement dans le rôle que joue le blanchiment d'argent dans leur activité globale.
« Certaines d'entre elles sont suffisamment importantes pour que, bien qu'elles reçoivent des millions de dollars de fonds provenant d'adresses illicites, ces fonds ne représentent que 10 % ou moins de toutes les cryptomonnaies qu'elles reçoivent. Ces cas peuvent être attribués au manque de connaissances de l'entreprise, plutôt qu'à une activité criminelle délibérée. Mais pour d'autres entreprises de cryptomonnaies de Moscou, les fonds illicites représentent jusqu'à 30 % ou plus de toutes les cryptomonnaies reçues, ce qui suggère qu'elles font un effort concerté pour servir une clientèle de cybercriminels », a déclaré Chainalysis.
Mais encore, Chainalysis allègue qu'il est intéressant de noter que plus de la moitié des entreprises décrites ci-dessus ont opéré dans le même gratte-ciel de Moscou : Federation Tower, un complexe de deux gratte-ciel situé au cœur de Moscou et l'un des bâtiments les plus prestigieux de toute la Russie. Chainalysis indique que plusieurs entreprises de premier plan y ont leur siège et les unités résidentielles se vendent à plus de 36 millions de dollars.
D'après Chainalysis, des enquêtes ont rapporté que la Federation Tower abrite plusieurs entreprises de cryptomonnaie qui ont facilité le blanchiment d'argent à grande échelle. Elles ont rendu cela possible en acceptant des fonds provenant d'adresses impliquées dans diverses formes de criminalité basée sur les cryptomonnaies, notamment les escroqueries, les marchés du darknet et les ransomwares.
Les cyberattaques gagnent en ampleur, en sophistication et en portée
Les dix-huit derniers mois ont été marqués par des cyberattaques majeures et très médiatisées, comme le piratage de SolarWinds, les attaques contre le Colonial Pipeline et la société de logiciels Kaseya. Il y a également eu des attaques de ransomware en France et Europe. Les experts parlent d'une ruée vers l'or des ransomwares, le nombre d'attaques ayant augmenté de plus de 90 % au cours du premier semestre de 2021.
La prévalence des ransomwares a forcé les gouvernements à prendre des mesures multilatérales contre cette menace. Selon Chainalysis, il est probable qu'un effort combiné a permis de pousser les tristement célèbres cartels REvil et BlackMatter hors ligne et d'arrêter les membres du cartel du ransomware Cl0p. Les récentes arrestations d'affiliés de REvil en Russie ont provoqué une onde de choc dans le milieu criminel clandestin. Dans son rapport, Chainalysis explique que ces arrestations ont mis de nombreux acteurs de la menace mal à l'aise, car ils pensaient que les autorités locales fermeraient les yeux si les victimes d'attaques par ransomware se trouvaient hors de Russie.
Un récent rapport de l'équipe de recherche Photon de Digital Shadows montre que les inquiétudes concernant d'éventuelles arrestations et confiscations de biens sont devenues beaucoup plus courantes. De leur côté, les gangs changeraient de marque ou formeraient de nouveaux groupes. Dernièrement, LockBit 2.0 serait le groupe de ransomware le plus actif, avec une liste impressionnante de 203 victimes pour le seul troisième trimestre 2021.
Source : Chainalysis
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi
Le ransomware "Hive" chiffre désormais les systèmes Linux et FreeBSD, mais cette variante du ransomware est encore boguée et ne fonctionne pas toujours
Des opérateurs de ransomware qui s'en prennent à des infrastructures américaines travailleraient avec les services de renseignement russes, selon un rapport de la société de cybersécurité Analyst1
Un membre mécontent du gang du ransomware "Conti" divulgue des fichiers internes, car il serait insatisfait de la façon dont l'argent de l'extorsion est réparti
Les attaques par ransomware ont augmenté de 250 % au cours du premier semestre de 2021, les utilisateurs seront confrontés à une attaque toutes les 11 secondes au cours du second semestre
Victime d'un ransomware, une entreprise paie des millions aux cybercriminels pour restaurer ses fichiers, l'entreprise se fait attaquer à nouveau par le même ransomware et paie encore
Partager