Rapport 2025 sur la criminalité liée aux crypto-actifs : Découvrez les principales tendances qui ont façonné le marché illicite des crypto-actifs au cours de l'année écoulée. Lire le rapport

Solutions
Apprendre
Entreprise
Demander une démo
en
Recherche
Recherche
Perspectives
6 avril 2022

L'analyse de TRM corrobore les liens présumés entre les groupes Conti et Ryuk Rançonlogiciel et Wizard Spider

Perspectives TRMPerspectives
L'analyse de TRM corrobore les liens présumés entre les groupes Conti et Ryuk Rançonlogiciel et Wizard Spider

Principaux résultats

Une analyse des fuites de messages privés des membres du groupe Conti, des rapports de sources ouvertes et des enquêtes menées par les enquêteurs de la CRT sur les adresses liées aux salaires indique des liens entre deux groupes de Rançonlogiciel , Conti et Ryuk. Conti et Ryuk semblent également faire partie du groupe cybercriminel Wizard Spider et sont responsables du botnet TrickBot. 

  • Non seulement les enquêtes menées sur la chaîne indiquent que les fonds versés pour le salaire d'un membre principal de Conti proviennent d'une adresse connue de Ryuk Rançonlogiciel , mais les similitudes de code et d'autres facteurs suggèrent que Conti est un rebranding de Ryuk Rançonlogiciel. Cette tactique de changement de marque est largement connue pour être utilisée par les syndicats du Rançonlogiciel afin de brouiller les pistes, comme l'a décrit BleepingComputer.
  • Le 27 février 2022, une personne ayant apparemment accès à l'infrastructure de Conti a divulgué près de 160 000 messages provenant de chats internes et d'autres données mettant en lumière plus d'un an d'opérations de Conti, découvrant l'écosystème du syndicat ainsi que des centaines d'adresses cryptographiques utilisées pour extorquer des victimes et financer les activités du groupe. L'authentification des fuites comme provenant de l'infrastructure de Conti a été confirmée par la communauté du renseignement sur les menaces, dont TheRecord.
  • La fuite a été déclenchée par la déclaration officielle de Conti du 25 février 2022, annonçant un soutien total à l'État russe et menaçant le monde d'opérations offensives en cas d'attaque d'une infrastructure russe, en réponse éventuelle à l'invasion de l'Ukraine par la Russie.

Contexte

Ryuk Rançonlogiciel, qui a été actif du milieu à la fin de l'année 2018, a été responsable d'un grand nombre d'attaques Rançonlogiciel ayant entraîné des millions de dollars de pertes. Depuis plusieurs années, la communauté du renseignement sur les menaces soupçonne que Ryuk et Conti Rançonlogiciel étaient tous deux exploités par un seul groupe identifié comme Wizard Spider par CrowdStrike, sur la base des similitudes de code et d'autres facteurs. 

Après le changement de marque présumé de Ryuk en Conti vers le mois de mai 2020, le Rançonlogiciel a continué à devenir encore plus destructeur, finissant par fusionner avec le groupe dirigeant le botnet TrickBot à la fin de l'année 2021, selon le cabinet de renseignement sur les menaces AdvIntel. TrickBot est apparu en 2016 sous la forme d'un cheval de Troie bancaire conçu pour voler les informations d'identification des utilisateurs et les informations personnelles identifiables (PII). Le botnet prolifique a ensuite étendu ses capacités à la collecte d'informations d'identification, au minage de crypto-monnaies et à la prise de pied dans les systèmes des victimes pour déployer Rançonlogiciel. 

Les relations d'affaires entre TrickBot et Ryuk de Wizard Spider ont d'abord suivi un modèle BaaS (Botnet-as-a-Service) et se sont transformées en partenariat après le changement de nom de Ryuk en Conti. En collaboration avec TrickBot, Conti est rapidement devenu l'un des syndicats de Rançonlogiciel les plus rentables et les plus prolifiques. Le chercheur en menaces Jack Cable, qui dirige le site de crowdsourcing Rançonlogiciel ransomwhe.re, a estimé que Conti était le groupe le plus rentable jusqu'au milieu de l'année 2021. 

Source de l'image : TRM Labs

Conti soutient la Russie et la menace 

D'après les discussions observées sur les principaux forums du dark web, l'invasion russe de l'Ukraine et le conflit militaire en cours ont divisé la communauté russophone des cybercriminels. Dans les discussions sur le dark web, de nombreux cybercriminels, y compris les acteurs de la menace Rançonlogiciel , ont exprimé leur soutien à un camp particulier, tandis que d'autres, comme LockBit2.0, ont essayé de maintenir un certain niveau de neutralité. Le 25 février 2022, Conti a ouvertement exprimé son soutien à l'État russe et a publié une menace à l'encontre du "monde occidental" sur son site d'extorsion officiel, déclarant qu'il riposterait par des opérations offensives si l'une des infrastructures russes était attaquée. 

Source : Site d'extorsion de Conti

Peu après la déclaration officielle de Conti, le 27 février 2022, une personne ayant apparemment un accès interne à l'infrastructure de Conti a divulgué sur Twitter de prétendus registres de conversations internes comprenant près de 160 000 messages, faisant ainsi la lumière sur plus d'un an d'activités de Conti. L'auteur de la fuite a affirmé dans des tweets en ligne qu'il le faisait en représailles au soutien apporté par Conti à l'invasion de l'Ukraine par la Russie. La fuite comprend également des centaines d'adresses cryptographiques, qui semblent avoir été utilisées dans le cadre des activités illicites du groupe pour extorquer des victimes et payer des services tels que les salaires des membres du groupe. L'authentification des fuites comme provenant de l'infrastructure de Conti a été confirmée par la communauté du renseignement sur les menaces, dont TheRecord.

Connexion entre Wizard Spider, Conti et Ryuk

Une analyse des fuites de Conti, en particulier des informations contenues dans les messages divulgués concernant les paiements de salaires, ainsi que des flux de fonds sur la chaîne, a révélé des informations uniques sur le fonctionnement de Wizard Spider. Les analystes de TRM ont découvert que, contrairement à la plupart des syndicats de Rançonlogiciel , Conti met en œuvre un modèle d'employés rémunérés en plus du modèle d'affiliation basé sur le pourcentage utilisé par les groupes RaaSRançonlogiciel) traditionnels. 

L'analyse de TRM on-chain a corroboré les paiements discutés le 14 juillet 2020 ; les chats montrent les acteurs "Salamandra", l'acteur de menace en charge des RH de Conti, et "Stern", un membre senior de l'équipe Wizard Spider, discutant d'un candidat potentiel à l'embauche, appelé "bonen". bonen, un codeur avec 20 ans d'expérience, a été embauché avec un salaire de 150 000 roubles par mois (environ 2 112 dollars américains à l'époque). En outre, Bonen a reçu 15 000 roubles (environ 207 USD) pour avoir effectué un test. Cette transaction a également été confirmée par l'analyse TRM on-chain.  

L'enquête sur la chaîne a également confirmé un transfert de 85 000 USD de Stern à un chef d'équipe de l'une des équipes Conti opérant sous le pseudonyme "Mango". Le transfert a été effectué pour payer le salaire de l'équipe de Mango. Selon les fuites, Mango a demandé le transfert à Stern le 19 juillet 2021, afin que les fonds puissent être répartis dans l'équipe de près de 100 personnes composée de pentesters, de codeurs, d'enquêteurs OSINT et d'ingénieurs inverses. Selon les conversations entre Stern et Mango, une partie des fonds a également été mise de côté pour payer les serveurs et les missions de test pour les nouveaux employés.

Source : TRM Labs

Une enquête plus approfondie a permis d'identifier que les fonds pour le paiement susmentionné de Stern à Mango provenaient d'une adresse Ryuk Rançonlogiciel connue, signalée par CrowdStrike en janvier 2019. Cette transaction financière semble confirmer les liens soupçonnés depuis longtemps entre Ryuk et Conti et souligne la tactique largement adoptée par les syndicats de Rançonlogiciel pour brouiller les pistes, décrite par BleepingComputer. Cependant, malgré le changement de marque, les transactions financières en crypto-monnaies effectuées par les groupes laissent des traces qui peuvent être découvertes, comme le montre TRM. 

Source : TRM Labs

Les discussions ont également révélé que Wizard Spider travaille également à la constitution d'une équipe qui tentera de développer une plateforme Blockchain interne et son propre jeton afin de contourner la traque des crypto-monnaies par les forces de l'ordre et les chercheurs. 

"Nous voulons créer notre propre cryptosystème, comme etherium, polkadot et binance smart chain", a déclaré Stern aux membres de son équipe le 28 juin 2021. "Nous devons étudier les principes, le code et d'autres éléments pour pouvoir nous en inspirer. Ensuite, nous pourrons intégrer NFT, DEFI, DEX et toutes les tendances existantes et à venir", ont-ils ajouté.

"Pensons-nous que l'un d'entre nous est un gourou de la blockchain et des tendances ? Quelqu'un a-t-il une idée de la direction que nous pouvons prendre pour la développer ?", a poursuivi Stern le 8 juillet 2021. Les aspirations de Stern en matière de crypto-monnaie ont été accueillies avec moins d'enthousiasme par d'autres acteurs de la menace tels que Mango : "C'est une idée géniale, mais très compliquée en même temps. Soyons réalistes, nous ne pouvons pas nous en charger seuls avec si peu d'expérience et de ressources."

Bien que le projet de blockchain n'ait pas encore été développé, l'intérêt des acteurs de la menace pour l'expansion des crypto-monnaies et de l'espace Defi suscite de vives inquiétudes. D'après les discussions, l'objectif global de Wizard Spider est de créer un produit blockchain adapté aux acteurs de la menace. TRM estime qu'il s'agit d'une source de revenus supplémentaire et d'un environnement de paiement contrôlé en interne pour le secteur clandestin de la cybercriminalité. 

L'araignée magicienne restera probablement une menace

TRM estime que Wizard Spider restera une menace importante malgré ses récents revers, notamment l'abandon progressif de son outil TrickBot, utilisé depuis longtemps, au début du mois de février, en raison de son taux de détection élevé, suivi de la fuite d'informations internes de Conti. Wizard Spider a rapidement repris ses activités, affichant sa première victime le 2 mars 2022 sur son site d'extorsion. Au 23 mars 2022, le syndicat a publié 41 victimes au total, dont 22 sont des entités américaines. Il est probable que ces victimes aient été violées par Wizard Spider avant la fuite et il n'est pas certain que le syndicat ait pu avoir accès à de nouvelles victimes depuis lors. 

Sur la base du suivi du niveau continu d'activité et des messages postés par Wizard Spider, les analystes de TRM estiment que le groupe est susceptible de restaurer pleinement sa capacité opérationnelle dans un avenir proche et qu'il continuera à mener ses opérations sous le même nom et ne changera pas de marque. Contrairement à plusieurs autres grandes opérations de Rançonlogiciel , qui ont déclaré publiquement et sur le dark web qu'elles ne ciblaient pas les infrastructures critiques, Conti/Ryuk a continué à cibler le système de santé même pendant la pandémie de COVID-19, comme l'indique le rapport de Health & Human Services "Conti Rançonlogiciel and the Health Sector" (Conti Rançonlogiciel et le secteur de la santé). 

Des rapports de sources exclusives ont indiqué que plusieurs autres groupes de Rançonlogiciel ont eu du mal à gérer toutes les entités auxquelles ils ont eu accès ou à développer un pipeline efficace d'accès, en raison d'un manque d'employés tels que des programmeurs, des négociateurs et autres. L'accent mis par Conti sur le recrutement peut être considéré comme une preuve des efforts déployés par Conti pour être en mesure de mener ses opérations à l'échelle industrielle, en apportant des éléments tels que l'accès et la distribution des logiciels malveillants en interne, ce qui leur a permis d'engranger des centaines de millions en paiements aux victimes au fil des ans, d'après l'analyse de TRM.

Le processus d'embauche de Conti consiste en un entretien et un test visant à mesurer le niveau de compétences du candidat. Afin d'attirer de nouveaux employés, "Salamandra", l'acteur de la menace chargé des ressources humaines du groupe, utilise de nombreuses ressources disponibles, des forums du dark web au site commercial russe d'offres d'emploi hh[.]ru.

Image : Site russe d'offres d'emploi commerciales hh[.]ru

D'après les discussions, le salaire moyen des acteurs de la menace s'élève à près de 2 000 USD par mois. Bien que ce salaire soit presque deux fois plus élevé que le salaire moyen dans le secteur des technologies de l'information en Russie selon salaryexplorer[.]com, la rémunération peut sembler faible comparée aux millions de dollars que Wizard Spider a reçus de ses victimes. La possibilité de consacrer un pourcentage relativement faible de leurs revenus aux salaires peut être l'une des raisons pour lesquelles les principaux membres de Wizard Spider ont préféré travailler avec des employés à temps plein plutôt qu'avec le Rançonlogiciel participation aux bénéfices que la plupart des autres groupes de Rançonlogiciel préfèrent actuellement. 

Perspectives

TRM surveille les discussions sur les chats divulgués sur le dark web pour se faire une idée de l'opinion d'autres acteurs de la menace à propos de cet arrangement. Par le passé, des programmeurs du dark web ont divulgué le code source de logiciels malveillants en guise de représailles lorsqu'ils estimaient qu'ils n'avaient pas reçu un pourcentage suffisant des bénéfices générés, comme cela s'est produit dans le cas de la fuite de Buhtrap selon des sources exclusives.

Les recherches menées par les analystes de TRM démontrent à quel point le suivi des flux de fonds peut être essentiel pour comprendre le fonctionnement des organisations cybercriminelles. Bien que les crypto-monnaies aient permis au Rançonlogiciel de mener des opérations fructueuses pendant des années et fournissent un niveau élevé de retour sur investissement pour les efforts des acteurs de la menace, l'outil analytique blockchain de TRM permet aux enquêtes de suivre le flux de fonds et de découvrir des renseignements précieux qui aident à relier les points. TRM continue de surveiller l'activité de Wizard Spider à la fois sur la chaîne et hors chaîne pour aider à atténuer le risque posé par Conti Rançonlogiciel.

Étant donné que Wizard Spider a déclaré soutenir l'État russe et partager son programme politique, et qu'il a déjà pris pour cible des infrastructures critiques, le syndicat pourrait également représenter un risque pour la sécurité nationale en raison de son niveau de sophistication.

A propos de TRM Labs

TRM propose le site blockchain intelligence pour aider les institutions financières, les entreprises de crypto-monnaies et les organismes publics à détecter, enquêter et gérer la fraude et la criminalité financière liées aux crypto-monnaies. La plateforme de gestion des risques de TRM comprend des solutions pour la surveillance des transactions et le filtrage des portefeuilles, l'évaluation des risques des entités - y compris la diligence raisonnable VASP - et la traçabilité de la source et de la destination des fonds. Ces outils permettent à un nombre croissant d'organisations dans le monde entier d'adopter en toute sécurité les transactions, produits et partenariats liés aux crypto-monnaies.

TRM est basé à San Francisco, CA, et recrute dans les domaines de l'ingénierie, du produit, des ventes et de la science des données. Pour en savoir plus, visitez le site www.trmlabs.com.

Pour signaler une piste à Global Investigations, envoyez-nous un courriel à investigations@trmlabs.com.

Sources :

  • hxxps://www[.]zdnet[.]com/article/conti-ryuk-joins-the-ranks-of-ransomware-gangs-operating-data-leak-sites/
  • hxxps://www[.]bleepingcomputer[.]com/news/security/conti-ransomware-shows-signs-of-being-ryuks-successor/
  • hxxps://therecord[.]media/conti-ransomware-gang-chats-leaked-by-pro-ukraine-member/
  • hxxps://www[.]techrepublic[.]com/article/top-5-ransomware-operators-by-income/
  • hxxps://www[.]bleepingcomputer[.]com/news/security/us-targets-darkside-ransomware-and-its-rebrands-with-10-million-reward/
  • hxxps://www[.]hhs[.]gov/sites/default/files/conti-ransomware-health-sector.pdf
Il s'agit d'un texte à l'intérieur d'un bloc div.
Abonnez-vous et restez au courant de nos idées
flèche vers la droite
31 mars 2022

Chris Janczewski, ancien agent spécial de IRS, rejoint TRM pour diriger l'équipe des enquêtes mondiales

flèche vers la droite
14 mai 2021

La face cachée de l'argent Rançonlogiciel Payment

Accédez à notre couverture de TRON, Solana et 23 autres blockchains

Remplissez le formulaire pour parler à notre équipe des services professionnels d'investigation.

Services d'intérêt
Sélectionner
Transaction Monitoring/Wallet Screening
Services de formation
Services de formation
 
En cliquant sur le bouton ci-dessous, vous acceptez la politique de confidentialité deTRM Labs .
Nous vous remercions ! Votre demande a bien été reçue !
Oups ! Un problème s'est produit lors de l'envoi du formulaire.
Aucun élément n'a été trouvé.
Illustration de la criminalité liée aux crypto-monnaies sur un fond bleu foncé comportant des symboles de blockchain bleu vif et blanc (notamment Bitcoin et TRON), des graphiques financiers et une icône de pirate informatique.
RAPPORT
Rapport 2025 sur la criminalité liée aux cryptomonnaies : Découvrez comment le paysage de la criminalité liée aux cryptomonnaies a évolué au cours de l'année écoulée.
DIG IN NOW →
Câbles de fibre optique bleu vif sur fond bleu foncé, avec des éclairs d'étincelles blanches intercalés.
RAPPORT
La technologie de l'IA devient de plus en plus sophistiquée, tout comme les façons dont les criminels l'utilisent. Découvrez ce que fait TRM pour contrer la criminalité basée sur l'IA.
COMBATTRE AI AVEC AI →
Illustration de la criminalité liée aux crypto-monnaies sur un fond bleu foncé comportant des symboles de blockchain bleu vif et blanc (notamment Bitcoin et TRON), des graphiques financiers et une icône de pirate informatique.
RAPPORT
Le paysage de la criminalité liée aux cryptomonnaies a connu d'importants changements en 2024, notamment une diminution des volumes illicites. Pour en savoir plus, cliquez ici.
PRÉVISUALISATION DU RAPPORT SUR LES CRIMES CRYPTOGRAPHIQUES →
Tableau en liège avec les photos d'identité de Heather "Razzlekhan" Morgan et d'Ilya Lichtenstein, avec leurs noms écrits à la main sous leurs photos, et des punaises sur le tableau reliées par une ficelle rouge.
DOCUMENTAIRE
Regardez "Biggest Heist Ever" en streaming et découvrez les coulisses de l'équipe TRM.
VÉRIFIER →
Un cercle bidimensionnel bleu clair (représentant un stablecoin) flottant sur des lignes courbes bleu foncé et blanches (représentant les vagues), avec de fines lignes pointillées bleues et blanches au-dessus de la tête pour représenter le vent.
RAPPORT
Explorer les macro-tendances et les développements juridictionnels qui ont façonné le paysage politique mondial des crypto-monnaies en 2024.
LIRE LE RAPPORT →
Illustration sur fond bleu foncé représentant un insecte et un point d'exclamation (représentant une activité illicite), un globe avec des points d'épingle, une pièce de monnaie et un diagramme à barres.
RAPPORT
Voir les pays ayant les taux les plus élevés d'adoption des crypto-monnaies - et les taux les plus élevés d'exposition aux activités illicites
LIRE LE RAPPORT MAINTENANT →
Un rectangle bleu avec des formes géométriques en arrière-plan et des points reliés par des lignes fines au premier plan, représentant les connexions sur la chaîne bock.
LIVRE BLANC
Découvrez les quatre façons dont la gestion des risques technologiques améliore la conformité à l'ère moderne de l'application des sanctions.
Télécharger le livre blanc →
Illustration d'un graphique pig butchering présentant divers logos de crypto-monnaies dans chaque section, avec un insigne de shérif bleu vif en haut, symbolisant le rôle des forces de l'ordre dans la lutte contre la fraude.
ÉTUDE DE CAS
Découvrez comment le procureur adjoint Erin West et le groupe de travail REACT luttent contre la criminalité organisée. pig butchering
REGARDER LA VIDÉO →
Illustration d'un œil, d'une tête de mort et d'un diagramme circulaire sur fond bleu clair, symbolisant les dangers des escroqueries aux cryptomonnaies et de la fraude financière.
RAPPORT
Explorez les tendances clés qui ont façonné l'économie cryptographique illicite en 2023.
OBTENIR LE RAPPORT →
Photographie en gros plan du Capitole des États-Unis avec de la neige en train de tomber
BLOG
Découvrez pourquoi les crypto-monnaies sont devenues un enjeu central de l'élection américaine de 2024.
LIRE LE POST
Illustration d'une poupée russe jouet contenant une attaque Rançonlogiciel à l'intérieur de la plus petite.
RAPPORT
Plongez dans l'écosystème russophone des crypto-monnaies illicites
LIRE LE RAPPORT COMPLET
Schéma d'un porc avec le bouclier des forces de l'ordre en surimpression
Étude de cas
En savoir plus sur la façon dont le groupe de travail REACT s'attaque aux problèmes suivants pig butchering
Lire l'étude de cas
Illustration d'une poupée russe jouet contenant une attaque Rançonlogiciel à l'intérieur de la plus petite.
RAPPORT
Explorer les récentes tendances Rançonlogiciel dans l'écosystème cryptographique russophone, y compris le rôle des groupes Rançonlogiciel dans la cybercriminalité mondiale.
OBTENIR LE RAPPORT
Personne tapant sur un clavier d'ordinateur portable avec un filtre bleu foncé.
BLOG POST
Découvrez la vague d'attaques Rançonlogiciel de l'été 2024 et la prolifération de RaaS dans le monde.
LIRE LE POST
RAPPORT
En savoir plus sur le rôle des crypto-monnaies dans le marché international des précurseurs de drogues de synthèse
OBTENIR LE RAPPORT