Rapport 2025 sur la criminalité liée aux crypto-actifs : Découvrez les principales tendances qui ont façonné le marché illicite des crypto-actifs au cours de l'année écoulée. Lire le rapport

Solutions
Apprendre
Entreprise
Demander une démonstration
en
Recherche
Recherche
Perspectives
7 juillet 2023

Comment les groupes Rançonlogiciel s'appuient sur des données bon marché (volées) pour lancer des campagnes d'extorsion

Perspectives TRMPerspectives
Comment les groupes Rançonlogiciel s'appuient sur des données bon marché (volées) pour lancer des campagnes d'extorsion

Lockbit, le syndicat de Rançonlogiciel le plus prolifique au monde, a reçu 91 millions de dollars de rançons depuis 2020, selon un avis conjoint publié en juin 2023 par l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA). Rien qu'au cours des six derniers mois, ses victimes apparentes ont été le Royal Mail britannique, un fournisseur de SpaceX, près de 9 millions de clients de MCNA Dental, le plus grand assureur dentaire américain, et, début juin, le plus grand fabricant de fermetures à glissière au monde.

Analyse par TRM Labs indique que Lockbit et d'autres grands groupes de Rançonlogiciel qui extorquent des millions à leurs victimes s'appuient sur des données volées achetées à bas prix sur des places de marché en ligne spécialisées, qui traitent souvent exclusivement en crypto-monnaies. Sur ces plateformes, un identifiant de compte piraté de "bonne qualité" peut être acheté pour seulement 10 USD.

L'analyse par TRM de l'activité sur la chaîne montre qu'en février 2023, peu avant de pénétrer dans MCNA Dental, Lockbit a effectué deux dépôts relativement modestes à Russian Market - un vendeur sur le darknet de ce que l'on appelle les "stealer logs", qui comprennent des informations volées sur le navigateur web, y compris des données stockées et certains détails de l'appareil. Compte tenu de l'importance des dépôts, ces paiements auraient pu permettre à Lockbit d'acquérir les données de plus de 100 comptes compromis. 

Ce paiement indique que LockBit est susceptible d'acheter des données compromises sur des marchés en ligne tiers tels que Russian Market pour mener à bien ses activités malveillantes. 

Comme le montre le graphique ci-dessous, une adresse de paiement LockBit, qui a reçu des paiements de victimes de rançons, envoie des fonds à deux adresses : une adresse d'affilié et une adresse de développeur. Un affilié de Rançonlogiciel est une entité qui loue l'accès aux plateformes de Rançonlogiciel(RaaS). Un développeur de Rançonlogiciel développe et maintient le logiciel malveillant.

La répartition observée dans cet échange, où l'affilié reçoit 80 % des fonds et le développeur les 20 % restants, est typique des relations développeur/affilié. Dans ce cas, l'adresse de l'affilié envoie des fonds à Russian Market afin de réapprovisionner le compte.

Russian Market, qui a été lancé en 2022, offre aux utilisateurs la possibilité de commander à l'avance des informations d'identification volées pour une organisation spécifique. Les clients qui maintiennent un solde minimum de 1 000 USD sur leurs comptes sur la plateforme ont la possibilité de soumettre une liste de domaines qu'ils souhaitent cibler. Ils recevront alors des notifications préalables concernant la disponibilité des journaux associés à ces domaines. Un accès anticipé aux logs relatifs aux domaines spécifiés est accordé à ces clients avant que les logs ne deviennent accessibles à l'ensemble du marché. Ce service n'est assorti d'aucune garantie, mais il permet aux cybercriminels de passer d'attaques opportunistes à des attaques plus ciblées. En novembre 2022 et janvier 2023, LockBit a effectué des transactions dont les montants sont supérieurs ou égaux au solde minimum requis, ce qui indique une utilisation du service.

L'enquête de TRM sur la chaîne montre que LockBit a envoyé des fonds à Russian Market chaque mois depuis novembre 2022, vraisemblablement pour acheter des données. En novembre 2022 et janvier 2023, LockBit a effectué des transactions avec des montants supérieurs ou égaux au solde minimum requis indiquant l'utilisation du service.

À la suite du démantèlement de Genesis Market, une place de marché en ligne accessible uniquement sur invitation qui vendait des identifiants de comptes volés, Russian Market a connu un regain de popularité. Les forums du dark web bruissent de discussions sur les autres sources d'achat de logs après la disparition de Genesis. 

Actuellement, Russian Market et 2easyShop sont les principaux concurrents sur le marché. Cependant, 2easyShop a acquis une mauvaise réputation auprès des cybercriminels qui, selon des forums populaires de cybercriminalité, accusent le site d'activités d'escroquerie . Selon ces forums, le piètre service clientèle de 2easyShop et la mauvaise qualité des données rendent les journaux achetés invalides, ce qui confère un avantage commercial à Russian Market dans le sillage du démantèlement de Genesis. 

Depuis la disparition de Genesis, Russian Market fait l'objet d'une attention particulière et a été mentionné à de nombreuses reprises sur les forums de cybercriminalité. En outre, on a constaté une augmentation des canaux Telegram dédiés qui facilitent la vente de produits similaires. En fait, le démantèlement de Genesis a déclenché un effet Hydra, dans lequel l'élimination d'une entité entraîne l'émergence de multiples autres. Une chose est sûre, tant qu'il y aura une demande de la part des acteurs du Rançonlogiciel , nous continuerons à assister à une prolifération d'entreprises qui les servent et qui se battent pour obtenir des parts de marché.

Le 15 juin 2023, le ministère américain de la justice a annoncé l' inculpation de Ruslan Magomedovich Astamirov, un ressortissant russe, pour son implication dans le déploiement de nombreux LockBit Rançonlogiciel et d'autres cyberattaques. Selon la plainte, les acteurs de LockBit ont exécuté plus de 1 400 attaques contre des victimes aux États-Unis et dans le monde entier, émettant plus de 100 millions de dollars de demandes de rançon et recevant au moins des dizaines de millions de dollars en paiements effectifs de rançon effectués sous forme de bitcoins. Dans un cas au moins, les services répressifs ont pu retracer une partie du paiement de la rançon d'une victime à une adresse en monnaie virtuelle contrôlée par Astamirov.

Cette annonce fait suite à l'inculpation de LockBit dans deux autres affaires du district du New Jersey. En novembre 2022, le ministère a annoncé l'inculpation de Mikhail Vasiliev, qui possède la double nationalité russe et canadienne et qui est actuellement détenu au Canada dans l'attente de son extradition vers les États-Unis. En mai 2023, DOJ a annoncé l'inculpation de Mikhail Pavlovich Matveev, pour sa participation présumée à des conspirations distinctes visant à déployer des variantes de LockBit, Babuk et Hive Rançonlogiciel contre des victimes aux États-Unis et à l'étranger.

Cette affaire est un autre excellent exemple de coopération et de coordination au niveau fédéral, étatique et mondial entre le DOJ États-Unis, le FBI, la police de Jersey City, la police de l'État du New Jersey, l'IRS Investigation, le Centre européen de lutte IRS cybercriminalité d'Europol, Eurojust, l'Agence nationale de police du Japon, le Commandement du cyberespace de la Gendarmerie nationale de France, la National Crime Agency et la South West Regional Organized Crime Unit du Royaume-Uni, la Kantonspolizei Zürich de Suisse, le Landeskriminalamt Schleswig-Holstein et le Bundeskriminalamt d'Allemagne, et l'Autorité de police suédoise de Suède.

Il s'agit d'un texte à l'intérieur d'un bloc div.
Abonnez-vous et restez au courant de nos idées
flèche vers la droite
Décembre 6, 2022

Huit mois après la fermeture d'Hydra, de nouveaux marchés du Darknet en langue russe remplissent le vide

flèche vers la droite
20 juin 2023

Les dépôts auprès des DNM occidentaux chutent d'un tiers à la suite de la saisie du marché monopolistique

flèche vers la droite
28 juin 2023

TRM LabsLe rapport sur l'écosystème des cryptomonnaies illicites montre que la criminalité dépasse le cadre du bitcoin

Accédez à notre couverture de TRON, Solana et 23 autres blockchains

Remplissez le formulaire pour parler à notre équipe des services professionnels d'investigation.

Services d'intérêt
Sélectionner
Transaction Monitoring/Wallet Screening
Services de formation
Services de formation
 
En cliquant sur le bouton ci-dessous, vous acceptez la politique de confidentialité deTRM Labs .
Nous vous remercions ! Votre demande a bien été reçue !
Oups ! Un problème s'est produit lors de l'envoi du formulaire.
Aucun élément n'a été trouvé.
Illustration de la criminalité liée aux crypto-monnaies sur un fond bleu foncé comportant des symboles de blockchain bleu vif et blanc (notamment Bitcoin et TRON), des graphiques financiers et une icône de pirate informatique.
RAPPORT
Rapport 2025 sur la criminalité liée aux cryptomonnaies : Découvrez comment le paysage de la criminalité liée aux cryptomonnaies a évolué au cours de l'année écoulée.
DIG IN NOW →
Câbles de fibre optique bleu vif sur fond bleu foncé, avec des éclairs d'étincelles blanches intercalés.
RAPPORT
La technologie de l'IA devient de plus en plus sophistiquée, tout comme les façons dont les criminels l'utilisent. Découvrez ce que fait TRM pour contrer la criminalité basée sur l'IA.
COMBATTRE AI AVEC AI →
Illustration de la criminalité liée aux crypto-monnaies sur un fond bleu foncé comportant des symboles de blockchain bleu vif et blanc (notamment Bitcoin et TRON), des graphiques financiers et une icône de pirate informatique.
RAPPORT
Le paysage de la criminalité liée aux cryptomonnaies a connu d'importants changements en 2024, notamment une diminution des volumes illicites. Pour en savoir plus, cliquez ici.
PRÉVISUALISATION DU RAPPORT SUR LES CRIMES CRYPTOGRAPHIQUES →
Tableau en liège avec les photos d'identité de Heather "Razzlekhan" Morgan et d'Ilya Lichtenstein, avec leurs noms écrits à la main sous leurs photos, et des punaises sur le tableau reliées par une ficelle rouge.
DOCUMENTAIRE
Regardez "Biggest Heist Ever" en streaming et découvrez les coulisses de l'équipe TRM.
VÉRIFIER →
Un cercle bidimensionnel bleu clair (représentant un stablecoin) flottant sur des lignes courbes bleu foncé et blanches (représentant les vagues), avec de fines lignes pointillées bleues et blanches au-dessus de la tête pour représenter le vent.
RAPPORT
Explorer les macro-tendances et les développements juridictionnels qui ont façonné le paysage politique mondial des crypto-monnaies en 2024.
LIRE LE RAPPORT →
Illustration sur fond bleu foncé représentant un insecte et un point d'exclamation (représentant une activité illicite), un globe avec des points d'épingle, une pièce de monnaie et un diagramme à barres.
RAPPORT
Voir les pays ayant les taux les plus élevés d'adoption des crypto-monnaies - et les taux les plus élevés d'exposition aux activités illicites
LIRE LE RAPPORT MAINTENANT →
Un rectangle bleu avec des formes géométriques en arrière-plan et des points reliés par des lignes fines au premier plan, représentant les connexions sur la chaîne bock.
LIVRE BLANC
Découvrez les quatre façons dont la gestion des risques technologiques améliore la conformité à l'ère moderne de l'application des sanctions.
Télécharger le livre blanc →
Illustration d'un graphique pig butchering présentant divers logos de crypto-monnaies dans chaque section, avec un insigne de shérif bleu vif en haut, symbolisant le rôle des forces de l'ordre dans la lutte contre la fraude.
ÉTUDE DE CAS
Découvrez comment le procureur adjoint Erin West et le groupe de travail REACT luttent contre la criminalité organisée. pig butchering
REGARDER LA VIDÉO →
Illustration d'un œil, d'une tête de mort et d'un diagramme circulaire sur fond bleu clair, symbolisant les dangers des escroqueries aux cryptomonnaies et de la fraude financière.
RAPPORT
Explorez les tendances clés qui ont façonné l'économie cryptographique illicite en 2023.
OBTENIR LE RAPPORT →
Photographie en gros plan du Capitole des États-Unis avec de la neige en train de tomber
BLOG
Découvrez pourquoi les crypto-monnaies sont devenues un enjeu central de l'élection américaine de 2024.
LIRE LE POST
Illustration d'une poupée russe jouet contenant une attaque Rançonlogiciel à l'intérieur de la plus petite.
RAPPORT
Plongez dans l'écosystème russophone des crypto-monnaies illicites
LIRE LE RAPPORT COMPLET
Schéma d'un porc avec le bouclier des forces de l'ordre en surimpression
Étude de cas
En savoir plus sur la façon dont le groupe de travail REACT s'attaque aux problèmes suivants pig butchering
Lire l'étude de cas
Illustration d'une poupée russe jouet contenant une attaque Rançonlogiciel à l'intérieur de la plus petite.
RAPPORT
Explorer les récentes tendances Rançonlogiciel dans l'écosystème cryptographique russophone, y compris le rôle des groupes Rançonlogiciel dans la cybercriminalité mondiale.
OBTENIR LE RAPPORT
Personne tapant sur un clavier d'ordinateur portable avec un filtre bleu foncé.
BLOG POST
Découvrez la vague d'attaques Rançonlogiciel de l'été 2024 et la prolifération de RaaS dans le monde.
LIRE LE POST
RAPPORT
En savoir plus sur le rôle des crypto-monnaies dans le marché international des précurseurs de drogues de synthèse
OBTENIR LE RAPPORT