Rapport 2025 sur la criminalité liée aux crypto-actifs : Découvrez les principales tendances qui ont façonné le marché illicite des crypto-actifs au cours de l'année écoulée. Lire le rapport

Solutions
Apprendre
Entreprise
Demander une démonstration
en
Recherche
Recherche
Perspectives
18 juillet 2024

Rançonlogiciel Summer : Les attaques se sont multipliées, mais la réponse mondiale aussi

Perspectives TRMPerspectives
Rançonlogiciel Summer : Les attaques se sont multipliées, mais la réponse mondiale aussi

Cet été, nous avons assisté à une vague d'attaques de Rançonlogiciel visant un large éventail d'entreprises, des télécommunications à l'automobile. Voici l'essentiel :

  • Attaques Rançonlogiciel contre CDK Global - un important fournisseur de solutions logicielles pour les concessionnaires automobiles - et contre le géant des télécommunications AT&T.
  • Dans les deux cas, les rançons auraient été payées en crypto-monnaies, et TRM a pu remonter jusqu'à des acteurs connus du Rançonlogiciel .
  • Depuis l'attentat de 2021 contre Colonial Pipeline, nous avons assisté à une réponse globale à l'épidémie de Rançonlogiciel .
  • Les paiements étant effectués en crypto-monnaies, les forces de l'ordre, grâce à l'blockchain intelligence, peuvent suivre les paiements de rançon et perturber les groupes de Rançonlogiciel tels que LockBit.

{{horizontal-line}}

Rançonlogiciel est un type de logiciel malveillant (malware) qui crypte les fichiers d'une victime, les rendant inaccessibles. L'attaquant demande ensuite une rançon, généralement payée en crypto-monnaie, en échange de la clé de déchiffrement nécessaire pour restaurer l'accès aux données. Le Rançonlogiciel peut se propager par le biais de courriels d'hameçonnage, de téléchargements malveillants ou de l'exploitation de vulnérabilités dans les logiciels.

Au cours des dernières années, nous avons assisté à la prolifération du Rançonlogiciel(RaaS), qui a considérablement abaissé la barrière à l'entrée des acteurs malveillants. Le RaaS est un modèle commercial utilisé par les cybercriminels qui permet aux attaquants non techniques de déployer des attaques de Rançonlogiciel avec un minimum d'effort. Dans ce modèle, des développeurs expérimentés de Rançonlogiciel créent le logiciel malveillant et le proposent à des affiliés, qui l'utilisent ensuite pour exécuter des attaques. En échange, les développeurs reçoivent une part des paiements de rançon. Les principales caractéristiques de RaaS sont une interface conviviale, le partage des bénéfices, l'assistance et les mises à jour, ainsi que l'anonymat et l'accessibilité sur le darknet. ReVil, Darkside et LockBit sont des exemples de plateformes RaaS.

Une année 2024 bien remplie pour les attaques et les victoires du Rançonlogiciel

Alors, plongeons dans cet été. 

CDK Global

En juin, CDK Global, un important fournisseur de solutions logicielles pour les concessionnaires automobiles, a subi deux importantes attaques de Rançonlogiciel attribuées au gang BlackSuit Rançonlogiciel . Cette double attaque a touché des milliers de concessionnaires automobiles en Amérique du Nord, affectant leur capacité à mener des opérations normales telles que l'entretien des véhicules, les ventes, la gestion des stocks et les applications de financement. 

Chris Janczewski, responsable des enquêtes mondiales chez TRM, a confirmé à CNN que le 21 juin, environ 387 bitcoins - l'équivalent d'environ 25 millions de dollars à l'époque - ont été envoyés sur un compte de crypto-monnaie contrôlé par des cybercriminels affiliés à un type de Rançonlogiciel appelé BlackSuit. M. Janczewski n'a pas identifié l'expéditeur du paiement, mais, selon CNN, trois autres sources ayant suivi de près l'incident ont confirmé qu'un paiement d'environ 25 millions de dollars avait été effectué à des affiliés de BlackSuit, et que CDK était très probablement la source de ce paiement.

AT&T

La semaine dernière, AT&T a révélé que des pirates informatiques avaient volé les enregistrements d'appels de dizaines de millions de clients et que l'entreprise avait payé un membre de l'équipe de piratage plus de 300 000 USD pour supprimer les données et fournir une vidéo prouvant la suppression.

Selon un rapport de Wired, le pirate lui-même - qui fait partie du célèbre groupe de pirates ShinyHunters - a fourni à Wired les adresses des crypto-monnaies qui ont envoyé et reçu le paiement de la rançon. M. Janczewski, de TRM, a confirmé à Wired qu'une transaction avait eu lieu pour un montant d'environ 5,72 bitcoins (l'équivalent de 373 646 USD au moment de la transaction) et que l'argent avait ensuite été blanchi par l'intermédiaire de plusieurs bourses et portefeuilles de crypto-monnaies, mais il a ajouté que rien n'indiquait qui contrôlait les portefeuilles.

Changer les soins de santé

En outre, le premier semestre 2024 a vu plusieurs autres Rançonlogiciel et cyberattaques très médiatisées, y compris l'exploit Change Healthcare qui a eu un impact sur la sécurité des données du secteur de la santé et a paralysé les pharmacies à travers les États-Unis - y compris celles des hôpitaux. Le groupe de Rançonlogiciel qui a perpétré l'attaque, connu sous le nom d'AlphV ou BlackCat, a reçu une transaction de 22 millions de dollars à la suite de l'attaque. TRM a établi un lien entre l'adresse Bitcoin qui a reçu le paiement de 22 millions de dollars et les pirates d'AlphV, ainsi qu'avec les paiements de deux autres victimes d'AlphV.

Le bouleversement de LockBit

Des succès ont également été enregistrés cette année. En février, la National Crime Agency du Royaume-Uni, le Department of Justice États-UnisDOJ, le FBI et Europol ont annoncé la perturbation du célèbre groupe Rançonlogiciel LockBit et le démantèlement de l'infrastructure de son site web.

https://cdn.prod.website-files.com/6082dc5b670562507b3587b4/65d48dcfdc1c0d4d0c7719fd_unnamed (11).png

LockBit est l'un des groupes de Rançonlogiciel les plus prolifiques au monde. Le groupe a eu un impact sans précédent sur les entreprises et les infrastructures critiques du monde entier, en utilisant un modèle de Rançonlogiciel(RaaS) pour mener des milliers d'attaques et extorquer aux victimes d'importants paiements de rançon en crypto-monnaie. Grâce à une analyse de la chaîne, TRM estime que les adresses contrôlées par les administrateurs de LockBit et ses affiliés ont reçu plus de 160 millions de livres sterling (ou 200 millions de dollars) en bitcoins depuis 2022, dont plus de 85 millions de livres sterling (ou 110 millions de dollars) n'ont pas encore été dépensés dans plusieurs adresses de la chaîne.

La réponse mondiale

Depuis l'attaque marquante de Colonial Pipeline en 2021, nous avons assisté à une réaction globale des gouvernements.

Les États-Unis

Le Department of Justice américain Department of Justice a mis en place une unité spécialisée (NatSec Cyber Unit) et un groupe de travail sur le rançongiciel ( Rançonlogiciel Task Force), et a procédé à des mises en accusation et à des arrestations de membres de gangs liés au Rançonlogiciel , tels que REvil et LockBit. Le département du Trésor américain a eu recours à des sanctions pour cibler des bourses de crypto-monnaies non conformes basées en Russie, comme Suex et Chatex, dont il a été constaté qu'elles facilitaient les paiements au Rançonlogiciel . En outre, les services répressifs américains et internationaux se sont associés à des entités du secteur privé telles que TRM Labs pour des initiatives de partage d'informations telles que le projet IVAN.

Union européenne

L'UE a mis en œuvre une stratégie globale de cybersécurité qui comprend des mesures visant à renforcer les capacités de cybersécurité des États membres, à favoriser le partage d'informations et à soutenir la coopération transfrontalière dans la lutte contre le Rançonlogiciel. En outre, l'Acte sur la cybersécurité de l'UE établit un cadre pour la certification des produits et services de cybersécurité, afin d'améliorer la sécurité des produits et réseaux numériques dans toute l'Europe.

Royaume-Uni

Le Royaume-Uni a mis en place le National Cyber Security Centre qui fournit aux organisations des conseils, un soutien et des ressources pour se défendre contre les attaques de Rançonlogiciel . Il collabore également avec des partenaires industriels afin d'améliorer la position globale du Royaume-Uni en matière de cybersécurité.

Australie

Le gouvernement australien a lancé un plan d'action contre Rançonlogiciel Action Plan) qui comprend des mesures visant à alourdir les sanctions pour les attaques au Rançonlogiciel , à renforcer les normes de cybersécurité et à promouvoir l'échange d'informations entre le gouvernement et le secteur privé. En outre, l'Australie a créé des centres conjoints de cybersécurité pour faciliter la collaboration entre le gouvernement, l'industrie et les universités afin de partager des informations sur les menaces et d'élaborer des stratégies pour lutter contre le Rançonlogiciel.

Collaboration internationale

Les États-Unis, par le biais de la Counter Rançonlogiciel Initiative, ont mené des efforts pour former des coalitions internationales avec d'autres pays afin de lutter contre le Rançonlogiciel par l'échange de renseignements, la coordination des actions d'application de la loi et l'établissement de normes mondiales en matière de cybersécurité. En outre, les États-Unis, l'Europe et le Royaume-Uni se sont engagés avec les pays du G7 et les alliés de l'OTAN à faire face aux menaces liées au Rançonlogiciel , en mettant l'accent sur la défense collective et les réponses coordonnées. Des agences telles qu'INTERPOL et Europol coordonnent également les efforts internationaux d'application de la loi pour perturber les réseaux de Rançonlogiciel , partager les renseignements et soutenir les opérations qui ciblent les opérateurs de Rançonlogiciel . Enfin, en ce qui concerne le paiement des rançons, quarante pays ont signé en octobre 2023 un engagement à ne jamais payer de rançons aux cybercriminels dans le cadre de l'initiative internationale de lutte contre le Rançonlogiciel dirigée par la Maison Blanche.

Blanchiment du produit du Rançonlogiciel

L'année dernière, le Groupe d'action financière - l'organisme international de référence en matière de lutte contre le blanchiment d'argent et le financement du terrorisme - a publié son tout premier rapport sur le Rançonlogiciel, qui décrit la nature de la menace, les typologies de blanchiment des paiements de rançons et fournit des recommandations sur la manière dont les pays doivent répondre à cette menace.

En ce qui concerne le blanchiment des rançons, le rapport souligne que le paiement et le blanchiment ultérieur des recettes du Rançonlogiciel sont "presque exclusivement effectués par l'intermédiaire d'Actifs Numériques". Il constate que le bitcoin représente 99 % des paiements, le reste étant constitué de Monero.

Le rapport énumère les aspects communs du blanchiment d'argent Rançonlogiciel :

  • L'utilisation de technologies, de techniques et de jetons renforçant l'anonymat, tels que les chaînes d'épluchage, pour masquer la source des fonds. Ces chaînes utilisent plusieurs comptes intermédiaires pour transférer des fonds, en siphonnant à chaque fois un petit montant vers un autre compte.
  • Le rôle des mixers et des privacy coins dans le blanchiment d'argent - cependant, comme indiqué ci-dessus, la plupart des paiements sont effectués en bitcoin. Selon TRM, bien que le bitcoin soit la principale crypto-monnaie utilisée pour les paiements Rançonlogiciel , le BTC est souvent converti en d'autres types de crypto-monnaies au cours du processus de blanchiment par le biais de passerelles et d'échanges non-dépositaires.
  • L'utilisation limitée (mais peut-être croissante) des protocoles DeFi pour superposer les fonds Rançonlogiciel avant de les transférer dans la monnaie fiduciaire.
  • L'utilisation courante de fournisseurs de services d'actifs virtuels (VASP) dans des juridictions à haut risque avec des niveaux inférieurs de contrôle KYC pour détourner des fonds.
  • Enfin, l'utilisation de mules - des personnes qui effectuent des transactions pour le compte d'autres personnes - pour ouvrir des comptes afin de blanchir de l'argent pour le compte de groupes criminels.

Voyons maintenant comment un groupe de Rançonlogiciel blanchit les paiements de rançon.

LockBit : une plongée dans le blanchiment des paiements de rançons

 L'analyse par TRM de l'activité de LockBit sur la chaîne fournit des informations supplémentaires sur l'activité financière des groupes de Rançonlogiciel . Historiquement, LockBit a utilisé le bitcoin comme principale crypto-monnaie pour faciliter le paiement des rançons. Mais le groupe s'est également tourné vers des options de paiement plus confidentielles telles que ZCash pour collecter des fonds auprès des victimes et payer ses affiliés.

L'analyse en chaîne de l'activité de LockBit met en évidence la structure opérationnelle du groupe, où les paiements initiaux de rançon des victimes font l'objet d'une répartition financière : 80 % vont à l'affilié de LockBit et 20 % aux administrateurs de LockBit. Les opérateurs de LockBit ont par la suite utilisé Wasabi 2.0 pour mélanger les fonds, ainsi que de multiples échanges non privatifs de liberté et des VASP centralisés aux États-Unis et en Asie pour blanchir les fonds des victimes.

Graphique TRM montrant les paiements initiaux de la rançon et la répartition financière 80/20 entre les affiliés de LockBit et les administrateurs‍
TRM Graphique montrant le blanchiment d'un paiement de rançon de 13 millions de dollars à travers plusieurs VASP
Graphique TRM montrant le blanchiment du produit d'une rançon à l'aide de multiples petits encaissements sur plusieurs VASP

Le rôle de l'blockchain intelligence dans la disruption du Rançonlogiciel.

Bien que nous ayons assisté à une série de perturbations au cours des derniers mois, la vague d'attaques de cet été nous indique que les acteurs du Rançonlogiciel continueront à cibler une myriade d'entreprises et à faire évoluer leurs tactiques. En outre, l'IA étant appelée à jouer un rôle de catalyseur pour rendre les attaques de Rançonlogiciel plus sophistiquées et plus efficaces, nous pourrions assister à une augmentation du nombre d'attaques. Dans ce contexte, la cybersécurité renforcée, la coopération mondiale et la capacité de suivre les paiements seront essentielles.

Il s'agit d'un texte à l'intérieur d'un bloc div.
Abonnez-vous et restez au courant de nos idées
flèche vers la droite
5 juillet 2024

Les vols liés aux piratages et aux exploits cryptographiques augmentent au cours du premier semestre 2024

flèche vers la droite
7 mai 2024

Les autorités américaines et britanniques identifient, sanctionnent et scellent l'acte d'accusation contre le dirigeant du groupe LockBit Rançonlogiciel

flèche vers la droite
14 mars 2023

GAFI Publication d'un rapport essentiel sur Rançonlogiciel 

Accédez à notre couverture de TRON, Solana et 23 autres blockchains

Remplissez le formulaire pour parler à notre équipe des services professionnels d'investigation.

Services d'intérêt
Sélectionner
Transaction Monitoring/Wallet Screening
Services de formation
Services de formation
 
En cliquant sur le bouton ci-dessous, vous acceptez la politique de confidentialité deTRM Labs .
Nous vous remercions ! Votre demande a bien été reçue !
Oups ! Un problème s'est produit lors de l'envoi du formulaire.
Aucun élément n'a été trouvé.
Illustration de la criminalité liée aux crypto-monnaies sur un fond bleu foncé comportant des symboles de blockchain bleu vif et blanc (notamment Bitcoin et TRON), des graphiques financiers et une icône de pirate informatique.
RAPPORT
Rapport 2025 sur la criminalité liée aux cryptomonnaies : Découvrez comment le paysage de la criminalité liée aux cryptomonnaies a évolué au cours de l'année écoulée.
DIG IN NOW →
Câbles de fibre optique bleu vif sur fond bleu foncé, avec des éclairs d'étincelles blanches intercalés.
RAPPORT
La technologie de l'IA devient de plus en plus sophistiquée, tout comme les façons dont les criminels l'utilisent. Découvrez ce que fait TRM pour contrer la criminalité basée sur l'IA.
COMBATTRE AI AVEC AI →
Illustration de la criminalité liée aux crypto-monnaies sur un fond bleu foncé comportant des symboles de blockchain bleu vif et blanc (notamment Bitcoin et TRON), des graphiques financiers et une icône de pirate informatique.
RAPPORT
Le paysage de la criminalité liée aux cryptomonnaies a connu d'importants changements en 2024, notamment une diminution des volumes illicites. Pour en savoir plus, cliquez ici.
PRÉVISUALISATION DU RAPPORT SUR LES CRIMES CRYPTOGRAPHIQUES →
Tableau en liège avec les photos d'identité de Heather "Razzlekhan" Morgan et d'Ilya Lichtenstein, avec leurs noms écrits à la main sous leurs photos, et des punaises sur le tableau reliées par une ficelle rouge.
DOCUMENTAIRE
Regardez "Biggest Heist Ever" en streaming et découvrez les coulisses de l'équipe TRM.
VÉRIFIER →
Un cercle bidimensionnel bleu clair (représentant un stablecoin) flottant sur des lignes courbes bleu foncé et blanches (représentant les vagues), avec de fines lignes pointillées bleues et blanches au-dessus de la tête pour représenter le vent.
RAPPORT
Explorer les macro-tendances et les développements juridictionnels qui ont façonné le paysage politique mondial des crypto-monnaies en 2024.
LIRE LE RAPPORT →
Illustration sur fond bleu foncé représentant un insecte et un point d'exclamation (représentant une activité illicite), un globe avec des points d'épingle, une pièce de monnaie et un diagramme à barres.
RAPPORT
Voir les pays ayant les taux les plus élevés d'adoption des crypto-monnaies - et les taux les plus élevés d'exposition aux activités illicites
LIRE LE RAPPORT MAINTENANT →
Un rectangle bleu avec des formes géométriques en arrière-plan et des points reliés par des lignes fines au premier plan, représentant les connexions sur la chaîne bock.
LIVRE BLANC
Découvrez les quatre façons dont la gestion des risques technologiques améliore la conformité à l'ère moderne de l'application des sanctions.
Télécharger le livre blanc →
Illustration d'un graphique pig butchering présentant divers logos de crypto-monnaies dans chaque section, avec un insigne de shérif bleu vif en haut, symbolisant le rôle des forces de l'ordre dans la lutte contre la fraude.
ÉTUDE DE CAS
Découvrez comment le procureur adjoint Erin West et le groupe de travail REACT luttent contre la criminalité organisée. pig butchering
REGARDER LA VIDÉO →
Illustration d'un œil, d'une tête de mort et d'un diagramme circulaire sur fond bleu clair, symbolisant les dangers des escroqueries aux cryptomonnaies et de la fraude financière.
RAPPORT
Explorez les tendances clés qui ont façonné l'économie cryptographique illicite en 2023.
OBTENIR LE RAPPORT →
Photographie en gros plan du Capitole des États-Unis avec de la neige en train de tomber
BLOG
Découvrez pourquoi les crypto-monnaies sont devenues un enjeu central de l'élection américaine de 2024.
LIRE LE POST
Illustration d'une poupée russe jouet contenant une attaque Rançonlogiciel à l'intérieur de la plus petite.
RAPPORT
Plongez dans l'écosystème russophone des crypto-monnaies illicites
LIRE LE RAPPORT COMPLET
Schéma d'un porc avec le bouclier des forces de l'ordre en surimpression
Étude de cas
En savoir plus sur la façon dont le groupe de travail REACT s'attaque aux problèmes suivants pig butchering
Lire l'étude de cas
Illustration d'une poupée russe jouet contenant une attaque Rançonlogiciel à l'intérieur de la plus petite.
RAPPORT
Explorer les récentes tendances Rançonlogiciel dans l'écosystème cryptographique russophone, y compris le rôle des groupes Rançonlogiciel dans la cybercriminalité mondiale.
OBTENIR LE RAPPORT
Personne tapant sur un clavier d'ordinateur portable avec un filtre bleu foncé.
BLOG POST
Découvrez la vague d'attaques Rançonlogiciel de l'été 2024 et la prolifération de RaaS dans le monde.
LIRE LE POST
RAPPORT
En savoir plus sur le rôle des crypto-monnaies dans le marché international des précurseurs de drogues de synthèse
OBTENIR LE RAPPORT