L’OFAC publie un avis mis à jour sur les ransomwares et annonce la première désignation d’échange de crypto-monnaie | Intégrité K2

Le 21 septembre 2021, l’Office of Foreign Assets Control (OFAC) du département du Trésor américain a publié un avis mis à jour¹ qui met en évidence les risques de sanctions associés aux paiements par ransomware. L’OFAC a réitéré qu’il décourage fortement les entreprises d’effectuer ou de faciliter des paiements de rançongiciels, ce qui, selon lui, encourage de futures attaques et peut également enfreindre les sanctions américaines. Les directives mises à jour visent plutôt à inciter les entreprises à adopter ou à améliorer des mesures préventives telles que les contrôles de cybersécurité et à coopérer étroitement avec le gouvernement américain en cas d’attaque.

Le même jour, l’OFAC a également annoncé sa première désignation d’un échange de crypto-monnaie qui a facilité les paiements par ransomware et autres transactions illicites.² L’échange, SUEX OTC, SRO (SUEX), est constitué en Tchéquie, mais basé en Russie, et est un échange « imbriqué » qui utilise les systèmes de paiement de plus grands échanges de crypto-monnaie pour faciliter les paiements illicites. L’OFAC a désigné SUEX conformément au décret exécutif 13694 pour fournir un soutien matériel aux acteurs criminels des ransomwares.³ Dans son annonce de la désignation, l’OFAC a souligné le rôle essentiel que jouent les échanges de devises virtuelles dans l’écosystème des ransomwares, car « la monnaie virtuelle est le principal moyen de faciliter les paiements par ransomware et les activités de blanchiment d’argent associées. »

• L’analyse du Trésor des paiements SUEX connus a indiqué que plus de 40 % de son historique de transactions connu était associé à des acteurs illicites, et il a traité des transactions associées aux auteurs d’au moins huit variantes connues de ransomware.
• Le département américain du Trésor a indiqué qu’il avait l’intention de continuer à cibler les échanges de devises virtuelles facilitant les transactions illicites, soulignant l’importance d’une vigilance rigoureuse à l’égard des clients et des processus de connaissance de vos clients (CDD/KYC) dans les plus grandes bourses de crypto-monnaie que les petites bourses utilisent pour accédez à des rampes d’accès et de sortie crypto-to-fiat et à un large éventail d’actifs virtuels.
• Le besoin d’un CDD/KYC solide est particulièrement aigu lors de l’évaluation des relations potentielles avec des bourses opérant dans des juridictions à haut risque, avec des exigences laxistes en matière de lutte contre le blanchiment d’argent ou de CDD/KYC, ou lorsque la juridiction d’origine de la bourse n’est pas claire.⁴

Principaux points à retenir de l’avis

• L’avis indique clairement que le gouvernement américain s’oppose fermement aux paiements de ransomware, qui, selon lui, alimentent de nouvelles attaques de ransomware et peuvent violer les sanctions américaines. Le gouvernement américain continue de déconseiller les paiements par ransomware et a souligné la nécessité pour les entreprises d’adopter des contrôles de cybersécurité stricts pour empêcher les attaques réussies. L’OFAC encourage les victimes et les entreprises qui aident à lutter contre les attaques de ransomware à contacter l’OFAC s’il y a « des raisons de suspecter un lien potentiel de sanctions » concernant un paiement de ransomware. Les paiements avec un lien potentiel de sanctions incluent ceux qui impliquent non seulement des portefeuilles déjà répertoriés sur la liste des ressortissants spécialement désignés (SDN) de l’OFAC, mais également des paiements qui impliquent des portefeuilles liés à des souches de ransomware connues dont les créateurs ont été sanctionnés ou des attaquants qui semblent avoir des liens vers des juridictions ou leurs gouvernements, comme la Corée du Nord ou l’Iran. L’OFAC a également déclaré que les demandes de licence impliquant des paiements de ransomware seront examinées avec une présomption de refus.
• L’OFAC a également annoncé un changement important dans ses directives d’application pour encourager une bonne « cyber hygiène ». Plus précisément, si une entreprise paie une rançon qui enfreint les sanctions américaines (par exemple, si l’attaquant est un SDN), l’OFAC accordera du crédit à cette entreprise lorsqu’elle envisage de poursuivre une action coercitive si cette entreprise avait mis en œuvre des mesures de cybersécurité pour réduire le risque de succès des ransomwares. attaques, a auto-déclaré les attaques suspectées de ransomware au gouvernement américain et a coopéré avec le gouvernement tout au long de l’attaque. En mettant en œuvre des mesures de cybersécurité essentielles telles que le maintien de sauvegardes hors ligne des données et la mise en place d’une formation à la cybersécurité, les entreprises risquent moins de faire face à des sanctions sévères en cas de violation potentielle des réglementations de l’OFAC.

  En outre, lors de l’évaluation des sanctions potentielles, l’OFAC examinera également dans quelle mesure les entreprises divulguent volontairement les attaques de ransomware à d’autres agences gouvernementales américaines concernées, telles que la Cybersecurity and Infrastructure Security Agency du département américain de la Sécurité intérieure et le Département américain du Trésor. Bureau de la cybersécurité et de la protection des infrastructures critiques. Ces auto-divulgations volontaires doivent inclure des détails techniques liés à l’attaque du ransomware, la date à laquelle l’attaque s’est produite, la date à laquelle l’attaque a été découverte et la demande de paiement du ransomware.

Défis et considérations pour le secteur privé

• Les entités du secteur privé qui paient une rançon aux cybercriminels doivent comprendre le risque qu’elles soient confrontées à des mesures d’exécution de l’OFAC. Dans l’avis, l’OFAC a noté que les personnes soumises à la juridiction américaine facilitant les paiements de ransomware, telles que les sociétés fournissant une cyberassurance, des capacités de réponse médico-légale et des services financiers, peuvent être tenues responsables si l’OFAC détermine qu’un paiement a été effectué à une partie interdite ou juridiction. Cela met ces acteurs de l’industrie, dont le rôle principal est de faciliter les paiements au nom des entreprises attaquées, dans une situation difficile. Ils doivent prendre des décisions rapides et basées sur les risques, souvent sans informations suffisantes sur l’identité des pirates, qui peuvent avoir de graves conséquences pour les victimes de ransomware et pour les fournisseurs de services.
• Bien qu’il puisse être difficile d’identifier un lien de sanctions potentiel dans un paiement de ransomware, les experts en crypto-monnaie et les solutions logicielles disponibles dans le commerce peuvent aider à identifier les risques associés au portefeuille ou aux portefeuilles auxquels les attaquants demandent l’envoi d’une rançon. L’OFAC a souligné dans l’avis mis à jour qu’il peut imposer des sanctions pour les violations des sanctions sur une base de responsabilité stricte, ce qui signifie qu’une personne soumise à sa juridiction peut être tenue responsable même si elle ne savait pas ou n’avait pas de raison de savoir qu’elle se livrait à une transaction interdite . Les acteurs illicites demandent souvent que les paiements de ransomware soient effectués en monnaie virtuelle à une adresse dans un portefeuille virtuel, ce qui rend difficile l’identification rapide des liens de sanctions. Les explorateurs de blockchain qui fournissent des informations sur l’attribution du portefeuille peuvent jouer un rôle essentiel dans ce processus, et les entreprises confrontées à une attaque qui n’ont pas encore accès ou ne connaissent pas ces outils doivent consulter des experts en crypto-monnaie.
• Les entreprises victimes d’une attaque de ransomware sont confrontées à un choix difficile de payer, en particulier si une personne sanctionnée est impliquée, et doivent s’engager rapidement et de manière proactive avec les autorités américaines compétentes. L’OFAC a clairement indiqué que les paiements de rançon à une partie sanctionnée sont interdits et que, bien que les entreprises puissent demander à l’OFAC une licence spécifique pour autoriser un tel paiement, la demande de licence sera examinée avec une présomption de refus. Cela crée un défi pour les entreprises dont les systèmes ou les opérations sont gelés par une attaque de ransomware : soit payer la rançon et enfreindre les sanctions américaines, soit refuser de payer et subir les impacts continus de l’attaque. L’OFAC recommande aux entreprises de contacter immédiatement l’OFAC ou d’autres autorités compétentes dans une telle situation.
• Les bourses de devises virtuelles, en particulier les bourses plus importantes qui fournissent une conversion crypto-fiat et fournissent des services à des bourses plus petites, doivent s’assurer qu’elles disposent de programmes CDD/KYC solides et d’une surveillance continue pour s’assurer qu’elles peuvent reconnaître et évaluer les risques de manière appropriée et surveiller les comptes imbriqués. Les échanges plus importants devraient saisir cette occasion pour examiner toutes les relations imbriquées étant donné le risque accru d’application et devraient évaluer s’ils devront mettre fin à des relations en dehors de leur tolérance au risque ou consacrer des ressources supplémentaires pour identifier et surveiller les échanges imbriqués. Les bourses doivent également s’assurer qu’elles disposent des outils dont elles ont besoin pour comprendre les sanctions et autres risques potentiels de financement illicite associés aux adresses de portefeuille de contrepartie, allant au-delà du simple filtrage des adresses de portefeuille par rapport à la liste OFAC SDN.
• Toutes les entreprises doivent mettre en œuvre des mesures préventives robustes et une bonne « cyber hygiène » et créer un plan de réponse aux attaques de ransomware. Comme indiqué ci-dessus, l’OFAC considérera des mesures préventives de cybersécurité solides comme un facteur d’atténuation lors de la poursuite d’une action coercitive. La mise en place d’un plan de réponse peut garantir que les étapes appropriées sont suivies en ce qui concerne la communication avec les agences gouvernementales américaines – une autre mesure d’atténuation que l’OFAC examinera – et la vérification des informations de demande de paiement pour tout paiement de rançon potentiel afin de comprendre le risque potentiel de sanctions. Les échanges de crypto-monnaie en particulier devraient articuler leur appétit pour le risque en ce qui concerne le traitement des paiements de rançon et développer des politiques et des procédures spécifiques liées à la détection et à l’atténuation des risques associés aux paiements de rançon.

Notes de fin

¹ Le département américain du Trésor. « Avis mis à jour sur les risques de sanctions potentiels pour faciliter les paiements par ransomware » (21 septembre 2021), https://home.treasury.gov/system/files/126/ofac_ransomware_advisory.pdf.
² « Treasury Takes Robust Actions to Counter Ransomware » (21 septembre 2021), disponible sur https://home.treasury.gov/news/press-releases/jy0364.
³ Décret exécutif 13694, « Blocking the Property of Certain Persons Engaging in Developing Malicious Cyber-Enabled Activities » (1 avril 2015), disponible sur https://www.govinfo.gov/content/pkg/FR-2015-04-02 /pdf/2015-07788.pdf.
⁴ Sur ce point, voir K2 Integrity, « Implications of Mounting Legal and Regulatory Scrutiny on Binance » (25 août 2021), disponible sur https://www.k2integrity.com/en/knowledge/policy-alerts/implications-of- montage-examen-juridique-et-reglementaire-sur-binance.