D’après une étude de Chainalysis, 74 % des fonds volés par des ransomwares en 2021 sont liées à des adresses crypto basées en Russie ou dans un pays de la CEI. Pour un montant total de 400 millions de dollars (M$), dont une partie serait blanchie directement depuis Moscou.
C'est une information qui ne risque pas d'apaiser les relations déjà tendues entre la Russie, ses voisins européens et les États-Unis. D’après une analyse de Chainalysis, 74% de l’argent volé par des ransomwares en 2021 sont allés à des groupes « très susceptibles d’être affiliés à la Russie, d’une manière ou d’une autre », écrit l’étude. Le montant s’élève à 400 millions de dollars (M$) de paiements en cryptomonnaies. Et ce n’est pas tout, l’étude indique que d’importantes sommes d’argent liés au blanchiment transitent par des sociétés de cryptographie russes.
Entre analyse de données et déduction
Pour en arriver à de tels résultats, Chainalysis explique avoir suivi des flux d’argent vers et depuis des portefeuilles numériques de groupe de hackers connus, en utilisant les registres de transactions publiques de la blockchain. La plateforme explique ensuite avoir associé les souches de ransomwares aux cybercriminels russes en fonction de trois critères. Premièrement, lorsque le code des logiciels malveillants est écrit de façon qu’il n’endommage pas les fichiers si les terminaux de la cible sont basés en Russie ou dans un pays de la CEI (Confédération des États indépendants qui regroupe 9 des 15 anciennes républiques soviétiques). « Dans d'autres cas, les opérateurs de rançongiciels ont même abandonné les décrypteurs pour rendre l'accès aux fichiers après avoir appris qu'ils visaient par inadvertance une organisation russe. »
Deuxièmement, les hackers communiquent en russe sur des forums. Enfin, lorsque les cybercriminels sont liés au groupe Evil Corp, une organisation de cybercriminels activement recherchée par les États-Unis. Preuve suffisante selon Chainalysis pour décréter que de nombreux groupes de hackers opèrent depuis la Russie ou d’un État membre de la CEI.
A noter que le rapport n’examine que les flux d’argent vers les gangs cybercriminels. Ces gangs, pour beaucoup, gèrent des opérations d’affiliation et louent les technologies nécessaires pour lancer des attaques. Il est dès lors très difficile de déduire avec exactitude d’où travaille chaque pirate, pris individuellement.
Blanchiment à Moscou ?
L'analyse indique également qu'après les attaques de ransomwares, une partie des fonds extorqués « sont blanchis par le biais de services destinés principalement aux utilisateurs russes ». 9,9% de tous les revenus connus vont au seul Evil Corp. Le groupe de cybercriminels présumé agirait apparemment en toute impunité directement depuis Moscou. En novembre dernier, une enquête de la BBC a avancé qu'Igor Turashev, l'un des dirigeants supposés d'Evil Corp, exploite des entreprises depuis des bureaux du complexe de la Fédération de la capitale russe. D’après Chainalysis, c’est dans ce même complexe que des sociétés cryptos sont utilisées par des pirates afin de blanchir des fonds illicites.
« Au cours d'un trimestre donné, les adresses illicites et à risque représentent entre 29 % et 48 % des tous les fonds reçus par les entreprises de crypto-monnaie de la ville de Moscou. Au total, sur la période de trois ans étudiés, ces entreprises ont reçu près de 700 millions de dollars (M$) de cryptomonnaies provenant d'adresses illicites, ce qui représente 13 % de toute la valeur qu'elles ont reçue pendant cette période. » Les cryptomonnaies illicites viennent principalement d’escroqueries diverses (313 M$) du marché du darknet (296 M$) et de ransomwares (38M$). Chainalysis ajoute néanmoins que pour certaines entreprises, ces fonds illicites ne représentent que 10% de toutes les cryptomonnaies reçues. Ce qui pourrait être « attribué au manque de connaissances de l'entreprise, plutôt qu'à une activité criminelle délibérée ». En revanche, le doute est permis pour d’autres entreprises où le volume atteint 30%. Plus de la moitié des entreprises qu’évoque la plateforme opèrent depuis le complexe de la Fédération.