Les sanctions de l’OFAC du Trésor SUEX Cryptocurrency Exchange

Hier, l’Office of Foreign Assets Control (OFAC) du département du Trésor a annoncé des sanctions contre SUEX OTC, SRO, un échange de crypto-monnaie, pour son rôle dans le blanchiment d’argent aux attaquants de ransomware. Selon l’OFAC, SUEX a facilité les transactions criminelles impliquant au moins huit variantes de ransomware et 40 % de l’historique des transactions connues de SUEX impliquaient des acteurs malveillants. La désignation de SUEX est la première fois que l’OFAC sanctionne une plate-forme de monnaie virtuelle – et cette approche peut s’avérer être un outil réglementaire utile pour rendre la cyberactivité malveillante moins rentable et donc dissuader les cybercriminels. La secrétaire au Trésor, Janet Yellen, a déclaré que le gouvernement était « engagé à utiliser toute la gamme de mesures, y compris des sanctions et des outils réglementaires, pour perturber, dissuader et empêcher les attaques de ransomwares.[s]. « 

En plus de désigner SUEX, l’OFAC a mis à jour ses directives sur les risques auxquels les entreprises sont confrontées pour jouer un rôle dans les paiements de ransomware (voir ici). Nous fournissons une ligne rouge des directives par rapport aux directives précédentes de l’OFAC de 2020 pour votre référence.

Attaques de ransomware : menace pour les entreprises et la sécurité nationale

Les attaques de ransomwares sont en augmentation, à la fois par des acteurs criminels et étatiques. Selon le département du Trésor, les paiements de ransomware ont totalisé plus de 400 millions de dollars en 2020, soit plus de quatre fois celui de 2019. Pour rappel, les attaques de ransomware sont le type de cyberattaque qui ferme le réseau et les systèmes d’une entité et exige un paiement – souvent en crypto-monnaie. – en échange du rétablissement de l’accès. Le gouvernement considère les cyberactivités malveillantes à la fois comme criminelles et comme une menace pour la sécurité nationale. Nous avons vu comment le piratage de SolarWinds, dont nous avons discuté ici, et l’attaque Colonial Pipeline ont eu un impact significatif sur les agences gouvernementales, les entreprises privées et le grand public. Les paiements aux attaquants de ransomware encouragent les activités malveillantes et financent davantage d’attaques de ransomware criminelles.

La désignation de SUEX, associée aux directives émises par l’OFAC, met en évidence les risques encourus par les entités qui facilitent les paiements par ransomware et les entreprises qui pourraient envisager d’effectuer de tels paiements. Si vous êtes soumis à des sanctions américaines, cela restreint considérablement votre capacité à faire des affaires aux États-Unis ou avec les États-Unis. Actuellement, il existe des consultants tiers qui négocient avec les cyber-attaquants et facilitent le paiement des rançons. Cette action contre SUEX souligne que le fait d’effectuer ou de faciliter ces paiements pourrait vous exposer à des sanctions sévères.

« Les entreprises qui facilitent les paiements de ransomware aux cyberacteurs au nom des victimes, y compris les institutions financières, les sociétés de cyberassurance et les entreprises impliquées dans la criminalistique numérique et la réponse aux incidents, non seulement encouragent les futures demandes de paiement de ransomware, mais peuvent également risquer de violer les réglementations de l’OFAC », a déclaré le Département du Trésor.

Que devrais tu faire?

Pour l’instant, l’action de l’OFAC n’a pas d’impact direct sur les échanges de crypto-monnaie plus larges, mais la désignation de SUEX devrait servir d’avertissement aux autres plateformes de monnaie virtuelle et les encourager à examiner leurs pratiques pour s’assurer qu’elles ne facilitent pas les paiements aux mauvais acteurs. Le respect des sanctions et des règles et réglementations anti-blanchiment est un défi dans le monde de la monnaie virtuelle. Les transactions sont décentralisées et le KYC / due diligence des utilisateurs n’est pas facile. Mais surtout lorsqu’il s’agit d’attaques de ransomware, le FBI et l’OFAC travaillent ensemble pour accélérer l’application. Les échanges de devises virtuelles doivent tenir compte des directives de l’OFAC pour mettre en œuvre les meilleures pratiques pour se protéger contre les violations de l’OFAC et de la LBC.

En particulier, les directives mises à jour de l’OFAC soulignent l’importance pour les entreprises de mettre en œuvre des pratiques de cybersécurité pour réduire le risque d’extorsion par une personne sanctionnée. Certaines pratiques pourraient inclure le maintien de sauvegardes hors ligne des données, l’élaboration de plans de réponse aux incidents, la mise en place d’une formation à la cybersécurité, la mise à jour régulière des logiciels antivirus et anti-malware et l’utilisation de protocoles d’authentification, entre autres. Si une entreprise fait l’objet d’une attaque et paie la rançon impliquant une partie sanctionnée, alors qu’elle pourrait être passible de sanctions, l’OFAC considérera les mesures de protection de l’entreprise, ainsi que le signalement de l’attaque aux forces de l’ordre, comme des facteurs atténuants lorsque il évalue les sanctions (c.-à-d. lettre de non-action/lettre de mise en garde par rapport à des sanctions civiles sévères).