Le département américain du Trésor a pris de nouvelles mesures dans la lutte contre les rançongiciels mardi, imposant des sanctions à un échange de crypto-monnaie accusé de faciliter le paiement de rançons aux cybercriminels.
La mesure la plus notable annoncée mardi était la sanction de l’Office of Foreign Assets Control (OFAC) contre le courtier de crypto-monnaie basé en Russie Suex. Les sanctions indiquent qu’il est généralement interdit aux entreprises et aux citoyens américains de s’engager avec des entités désignées, « directement ou indirectement », selon l’avis mis à jour sur les paiements de ransomware du département du Trésor.
Les sanctions de l’OFAC sont les premières contre un premier échange de monnaie virtuelle. Suex est active depuis février 2018 et, selon le département du Trésor, a aidé les cybercriminels à cacher les produits illicites des paiements de rançon, ainsi que d’autres cybercrimes. Les cybercriminels continuent d’utiliser la crypto-monnaie pour l’anonymat qu’elle offre, en particulier dans les attaques de ransomware, tandis que les échanges ou les « mélangeurs » permettent aux acteurs malveillants de blanchir leurs fonds illicites et de les dissimuler aux forces de l’ordre.
Le département du Trésor a qualifié les échanges de devises virtuelles d' »éléments critiques » de l’écosystème des ransomwares, contre lequel le gouvernement américain s’est sérieusement battu. Cependant, la lutte contre les ransomwares s’est avérée difficile. Un communiqué du département du Trésor a déclaré que les paiements de ransomware ont atteint plus de 400 millions de dollars en 2020.
Alors que les paiements continuent d’être effectués, le gouvernement a fortement découragé les citoyens et les entreprises de céder aux demandes d’extorsion ; la position a été soulignée à nouveau dans l’annonce de mardi. Outre l’impact monétaire substantiel, les attaques de ransomwares ont également détruit des infrastructures critiques telles que des hôpitaux et le gazoduc colonial américain.
« Les échanges de devises virtuelles tels que Suex sont essentiels à la rentabilité des attaques de ransomware, qui aident à financer des activités cybercriminelles supplémentaires », a déclaré le communiqué de presse.
Quarante pour cent de l’historique des transactions Suex sont associés à des acteurs malveillants, selon le département du Trésor.
Le fournisseur d’analyse de blockchain Chainalysis, qui a aidé à l’enquête contre Suex, a fourni une ventilation de la transaction dans un article de blog. Au total, Chainalysis a déclaré que Suex avait reçu plus de 481 milliards de dollars en Bitcoin depuis sa création.
Près de 13 millions de dollars des transactions sont allés à des opérateurs de ransomware, notamment Ryuk, Conti, Maze et plusieurs autres. Le département du Trésor a déclaré qu’il y avait au moins huit variantes de ransomware au total.
Alors que les opérateurs de ransomware étaient impliqués dans de nombreuses transactions, les fonds les plus élevés provenaient étonnamment d’escroqueries par crypto-monnaie. Les opérateurs d’escroquerie de crypto-monnaie ont reçu plus de 24 millions de dollars, y compris « les fraudeurs derrière Finiko, une arnaque qui a récupéré plus d’un milliard de dollars de crypto-monnaie de victimes principalement en Russie et en Ukraine ». Enfin, plus de 20 millions de dollars provenaient des marchés du dark web.
Dans son blog, Chainalysis a souligné l’impact significatif qui résulterait de la suppression de l’échange.
« Suex est l’un des services les plus importants et les plus actifs. Leur fermeture représenterait un coup dur pour bon nombre des plus grands acteurs de la cybermenace opérant aujourd’hui, y compris les principaux attaquants de ransomware, les escrocs et les opérateurs du marché darknet », a déclaré le blog.
La crypto-monnaie sous le feu
Purandar Das, co-fondateur et évangéliste en chef de la sécurité du fournisseur de protection des données Sotero, a déclaré que la crypto-monnaie est un facteur majeur dans ce type de cyberattaques. N’avoir aucune inquiétude quant au suivi des paiements ou à la capacité d’encaisser la rançon, a-t-il déclaré, est un facteur important des attaques.
« La possibilité de collecter une rançon de manière anonyme et d’éliminer la possibilité de suivre les itinéraires de paiement stimule l’activité », a déclaré Das dans un e-mail à SearchSecurity.
Das a également déclaré que les mesures du département du Trésor étaient révélatrices de l’énormité du problème ainsi que de l’utilisation de la monnaie numérique pour faciliter la criminalité. Bien que la monnaie numérique ait ses avantages, a-t-il déclaré, les inconvénients prévus sont en train de se réaliser, tels que la possibilité pour les criminels de collecter de manière anonyme d’énormes profits qui auraient été impossibles il y a quelques années.
Mark Testoni, PDG de SAP National Security Services, a déclaré que la crypto-monnaie facilite les transactions et la conclusion du processus, donc en faisant pression sur cette chaîne, cela aura un impact. D’une part, cela peut rendre plus difficile l’apparition et le fonctionnement des échanges.
« Le couper à la source est probablement la chose la plus importante que nous fassions », a déclaré Testoni.
La plupart de ces événements ne sont pas signalés et les entreprises, les organisations trouvent plus facile de simplement payer la rançon. La chose la plus importante que nous puissions faire est d’éduquer nos entreprises.
Marc TestoniPDG, SAP Services de sécurité nationale
De plus, les nouvelles actions en faveur du paiement des rançons, a-t-il déclaré, sont un autre outil du gouvernement américain.
« La plupart de ces événements ne sont pas signalés et les entreprises, les organisations trouvent plus facile de simplement payer la rançon », a-t-il déclaré. « La chose la plus importante que nous puissions faire est d’éduquer nos entreprises et les individus, car chacun de nous, en tant qu’employé, en tant qu’individu dans nos foyers, a un impact énorme sur la cybersécurité. »
Les sanctions et les mesures d’application de la loi qui se concentrent sur les paiements par ransomware peuvent également présenter des inconvénients. Testoni a déclaré que cela pouvait potentiellement pousser les entreprises à être encore plus discrètes en matière de divulgation.
Un autre défi que Das a relevé est de savoir comment de telles sanctions pourraient empêcher les organisations de victimes de récupérer leurs systèmes et leurs données. « En supposant que les attaques de ransomware s’arrêtent complètement en pénalisant les entreprises qui paient la rançon, cela peut entraîner des conséquences qui pourraient être graves et avoir un impact négatif sur les consommateurs », a-t-il déclaré.
