Rapport 2025 sur la criminalité liée aux crypto-actifs : Découvrez les principales tendances qui ont façonné le marché illicite des crypto-actifs au cours de l'année écoulée. Lire le rapport

Solutions
Apprendre
Entreprise
Demander une démonstration
en
Recherche
Recherche
Perspectives
1er octobre 2024

Les États-Unis, l'Australie et le Royaume-Uni prennent des mesures contre le groupe Rançonlogiciel Evil Corp

Perspectives TRMPerspectives
Les États-Unis, l'Australie et le Royaume-Uni prennent des mesures contre le groupe Rançonlogiciel Evil Corp

Aujourd'hui, l'Office of Foreign Assets Control (OFAC) du département du Trésor des États-Unis a sanctionné sept personnes et deux entités associées au groupe cybercriminel russe Evil Corp dans le cadre d'une action coordonnée avec le Foreign, Commonwealth & Development Office (FCDO) du Royaume-Uni et le Department of Foreign Affairs and Trade (DFAT) de l'Australie. Evil Corp, dirigé par Maksim Viktorovich Yakubets, a une longue expérience de la cybercriminalité, qui remonte à 2009, lorsqu'il a mis au point le logiciel malveillant Dridex, utilisé pour voler des identifiants bancaires et commettre des fraudes financières. Ses opérations ont touché plus de 40 pays, causant plus de 100 millions de dollars de pertes financières, principalement dans les secteurs des banques, des soins de santé et des infrastructures critiques. 

Le Royaume-Uni a désigné 16 membres et l'Australie trois membres et affiliés d'Evil Corp.

L'une des personnes sanctionnées par l'OFAC est Aleksandr Viktorovich Ryzhenkov, affilié à LockBit Rançonlogiciel , également connu sous le nom de "Beverley", pour sa participation, aux côtés du fondateur d'Evil Corp, Maksim Viktorovich Yakubets, aux opérations du groupe. 

En plus des sanctions, le Department of Justice a révélé un acte d'accusation contre Ryzhenkov, un ressortissant russe, pour son implication dans le déploiement du BitPaymer Rançonlogiciel pour attaquer de multiples victimes au Texas et à travers les États-Unis. À partir de juin 2017, Ryzhenkov aurait obtenu un accès non autorisé aux réseaux des victimes, crypté leurs données à l'aide de Rançonlogiciel, et exigé d'importantes rançons pour rétablir l'accès et empêcher la diffusion publique d'informations sensibles.

L'acte d'accusation explique comment Ryzhenkov et ses complices ont utilisé le phishing, les logiciels malveillants et les vulnérabilités des systèmes pour extorquer des millions de dollars à des entreprises américaines.

Le Federal Bureau of Investigation États-Unis, la National Crime Agency du Royaume-Uni et la police fédérale australienne ont également publié un rapport détaillé intitulé Evil Corp : Behind the Scenes, qui examine en profondeur les tactiques, l'histoire et la hiérarchie du groupe, ainsi que ses liens étroits avec l'État russe. 

Les actions d'aujourd'hui coïncident avec le deuxième jour du sommet de l'initiative Counter Rançonlogiciel , organisé par les États-Unis, qui implique plus de 50 pays travaillant ensemble pour contrer la menace du Rançonlogiciel. TRM Labs est honoré d'avoir participé à ce sommet.

Evil Corp, également connu sous le nom d'Indrik Spider, a été fondé par Yakubets, qui opère sous le pseudonyme "Aqua" et est actuellement l'un des cybercriminels les plus recherchés, sa tête étant mise à prix pour 5 millions de dollars. Le groupe, organisé comme une famille criminelle traditionnelle, comprend plusieurs membres de la famille de Yakubets, comme son père, Viktor Yakubets, et d'autres associés comme Aleksandr Viktorovich Ryzhenkov, son commandant en second. Ils ont utilisé des tactiques très professionnelles, notamment en recourant à des réseaux de passeurs de fonds, à l'échange de crypto-monnaies et à des sociétés-écrans, pour blanchir les recettes de leurs cyberactivités. À son apogée, Evil Corp opérait à partir de sites physiques situés à Moscou et entretenait des relations sociales et commerciales étroites, ce qui soulignait l'étroitesse de sa structure opérationnelle. Evil Corp et Yakubets ont tous deux été sanctionnés par l'OFAC en 2019.

L'évolution et les opérations d'Evil Corp

L'histoire d'Evil Corp remonte à ses débuts au sein du Business Club, un groupe de cybercriminels spécialisé dans la fraude bancaire. À partir de 2009, Yakubets a collaboré avec d'autres cybercriminels notoires, dont Evgeniy Bogachev, pour déployer des logiciels malveillants tels que Jabber Zeus et GameOverZeus. En 2014, Evil Corp est devenu un groupe criminel organisé (GCO) avec l'introduction de Dridex, qui est devenu l'une des souches de logiciels malveillants les plus prolifiques jamais développées. Evil Corp a également introduit le Rançonlogiciel dans son portefeuille, en commençant par BitPaymer en 2017.

En 2019, les forces de l'ordre américaines et britanniques ont perturbé les opérations d'Evil Corp par des sanctions et des mises en accusation, obligeant le groupe à adapter ses tactiques. À la suite de cette perturbation, le groupe s'est scindé, une faction, dirigée par Igor Turashev, développant le DoppelPaymer Rançonlogiciel. Les membres restants, sous la direction de Yakubets, ont développé de nouvelles souches de Rançonlogiciel telles que WastedLocker, Hades et Phoenix Locker, démontrant ainsi la capacité d'adaptation du groupe.

Le Nexus de la cryptographie

L'analyse par TRM de l'activité sur la chaîne fournit des informations supplémentaires sur l'activité financière des groupes de Rançonlogiciel . Historiquement, les groupes de Rançonlogiciel ont utilisé le Bitcoin comme principale crypto-monnaie pour faciliter le paiement des rançons. Mais les groupes se tournent également vers des options de paiement plus confidentielles telles que ZCash ou Monero pour collecter des fonds auprès des victimes et payer leurs affiliés.

L'analyse en chaîne de l'activité du Rançonlogiciel met en évidence les structures d'exploitation typiques du Rançonlogiciel , où les paiements initiaux de rançon des victimes font l'objet d'une répartition financière : 80 % vont souvent à l'affilié et 20 % aux administrateurs du groupe du Rançonlogiciel . Les groupes de Rançonlogiciel ont souvent recours à des mixeurs, à de multiples échanges non privatifs de liberté et à des SVAA centralisés aux États-Unis et en Asie pour blanchir les fonds des victimes.

Selon TRM Labsl'adresse en crypto-monnaie de Ryzhenjov a été largement exposée aux groupes criminels, tels que les acteurs bien connus du Rançonlogiciel qui ont effectué des transactions auprès de fournisseurs de services d'actifs virtuels conformes et d'entités sanctionnées telles que Cryptex.net.

Comme le montre la CRT, une crypto-monnaie associée à Ryzhenjov présente une exposition significative aux groupes criminels, tels que les acteurs bien connus du Rançonlogiciel qui ont effectué des encaissements auprès de fournisseurs de services d'actifs virtuels conformes et d'entités sanctionnées telles que Cryptex.net.

‍Liensavec l'État russe

Les relations d'Evil Corp avec les services de renseignement russes sont très étroites. Alors que la plupart des groupes cybercriminels opèrent de manière indépendante, le groupe de Yakubets aurait travaillé directement avec le FSB, le SVR et le GRU pour mener des activités d'espionnage et des cyberattaques contre les alliés de l'OTAN. Eduard Benderskiy, ancien haut fonctionnaire de l'unité secrète Vympel du FSB, a facilité ces relations, assurant à Evil Corp la protection et l'assistance de l'État russe. Cette position privilégiée a permis à Evil Corp de poursuivre ses activités sans trop d'interférences de la part des autorités russes.

Implications des sanctions

Les sanctions d'octobre 2024, ainsi que les désignations simultanées du Royaume-Uni et de l'Australie, s'inscrivent dans le cadre d'un effort international plus large de lutte contre le Rançonlogiciel et la cybercriminalité. Ces sanctions ont pour effet de geler les avoirs des personnes et entités désignées et d'interdire aux ressortissants américains d'effectuer des transactions avec elles. Les institutions financières et les autres entreprises qui entretiennent des relations avec ces personnes s'exposent à des sanctions et à des mesures d'application. Le sommet de la Counter Rançonlogiciel Initiative, qui réunit aujourd'hui plus de 50 pays, renforce encore la collaboration mondiale en vue de démanteler les réseaux cybercriminels tels qu'Evil Corp.

Conclusion

L'histoire d'Evil Corp illustre l'évolution de la menace que représentent les organisations cybercriminelles ayant des liens avec des États. Depuis plus de dix ans, le groupe s'est adapté aux mesures de répression, en développant de nouveaux logiciels malveillants et Rançonlogiciel pour poursuivre ses activités. Cependant, les sanctions et la pression constante exercée par les autorités internationales chargées de l'application de la loi ont entravé sa capacité à opérer. En 2024, les actions coordonnées des États-Unis, du Royaume-Uni et de l'Australie montrent que les tentatives d'Evil Corp pour échapper à la surveillance ne resteront pas sans réponse, car les gouvernements restent déterminés à perturber leurs opérations et à protéger les infrastructures critiques contre le Rançonlogiciel et les cybermenaces.

Il s'agit d'un texte à l'intérieur d'un bloc div.
Abonnez-vous et restez au courant de nos idées
flèche vers la droite
18 juillet 2024

Rançonlogiciel Summer : Les attaques se sont multipliées, mais la réponse mondiale aussi

flèche vers la droite
14 mars 2023

GAFI Publication d'un rapport essentiel sur Rançonlogiciel 

flèche vers la droite
25 juillet 2024

Un nouveau rapport de TRM révèle que les groupes russophones dominent le secteur du Rançonlogiciel

Accédez à notre couverture de TRON, Solana et 23 autres blockchains

Remplissez le formulaire pour parler à notre équipe des services professionnels d'investigation.

Services d'intérêt
Sélectionner
Transaction Monitoring/Wallet Screening
Services de formation
Services de formation
 
En cliquant sur le bouton ci-dessous, vous acceptez la politique de confidentialité deTRM Labs .
Nous vous remercions ! Votre demande a bien été reçue !
Oups ! Un problème s'est produit lors de l'envoi du formulaire.
Aucun élément n'a été trouvé.
Illustration de la criminalité liée aux crypto-monnaies sur un fond bleu foncé comportant des symboles de blockchain bleu vif et blanc (notamment Bitcoin et TRON), des graphiques financiers et une icône de pirate informatique.
RAPPORT
Rapport 2025 sur la criminalité liée aux cryptomonnaies : Découvrez comment le paysage de la criminalité liée aux cryptomonnaies a évolué au cours de l'année écoulée.
DIG IN NOW →
Câbles de fibre optique bleu vif sur fond bleu foncé, avec des éclairs d'étincelles blanches intercalés.
RAPPORT
La technologie de l'IA devient de plus en plus sophistiquée, tout comme les façons dont les criminels l'utilisent. Découvrez ce que fait TRM pour contrer la criminalité basée sur l'IA.
COMBATTRE AI AVEC AI →
Illustration de la criminalité liée aux crypto-monnaies sur un fond bleu foncé comportant des symboles de blockchain bleu vif et blanc (notamment Bitcoin et TRON), des graphiques financiers et une icône de pirate informatique.
RAPPORT
Le paysage de la criminalité liée aux cryptomonnaies a connu d'importants changements en 2024, notamment une diminution des volumes illicites. Pour en savoir plus, cliquez ici.
PRÉVISUALISATION DU RAPPORT SUR LES CRIMES CRYPTOGRAPHIQUES →
Tableau en liège avec les photos d'identité de Heather "Razzlekhan" Morgan et d'Ilya Lichtenstein, avec leurs noms écrits à la main sous leurs photos, et des punaises sur le tableau reliées par une ficelle rouge.
DOCUMENTAIRE
Regardez "Biggest Heist Ever" en streaming et découvrez les coulisses de l'équipe TRM.
VÉRIFIER →
Un cercle bidimensionnel bleu clair (représentant un stablecoin) flottant sur des lignes courbes bleu foncé et blanches (représentant les vagues), avec de fines lignes pointillées bleues et blanches au-dessus de la tête pour représenter le vent.
RAPPORT
Explorer les macro-tendances et les développements juridictionnels qui ont façonné le paysage politique mondial des crypto-monnaies en 2024.
LIRE LE RAPPORT →
Illustration sur fond bleu foncé représentant un insecte et un point d'exclamation (représentant une activité illicite), un globe avec des points d'épingle, une pièce de monnaie et un diagramme à barres.
RAPPORT
Voir les pays ayant les taux les plus élevés d'adoption des crypto-monnaies - et les taux les plus élevés d'exposition aux activités illicites
LIRE LE RAPPORT MAINTENANT →
Un rectangle bleu avec des formes géométriques en arrière-plan et des points reliés par des lignes fines au premier plan, représentant les connexions sur la chaîne bock.
LIVRE BLANC
Découvrez les quatre façons dont la gestion des risques technologiques améliore la conformité à l'ère moderne de l'application des sanctions.
Télécharger le livre blanc →
Illustration d'un graphique pig butchering présentant divers logos de crypto-monnaies dans chaque section, avec un insigne de shérif bleu vif en haut, symbolisant le rôle des forces de l'ordre dans la lutte contre la fraude.
ÉTUDE DE CAS
Découvrez comment le procureur adjoint Erin West et le groupe de travail REACT luttent contre la criminalité organisée. pig butchering
REGARDER LA VIDÉO →
Illustration d'un œil, d'une tête de mort et d'un diagramme circulaire sur fond bleu clair, symbolisant les dangers des escroqueries aux cryptomonnaies et de la fraude financière.
RAPPORT
Explorez les tendances clés qui ont façonné l'économie cryptographique illicite en 2023.
OBTENIR LE RAPPORT →
Photographie en gros plan du Capitole des États-Unis avec de la neige en train de tomber
BLOG
Découvrez pourquoi les crypto-monnaies sont devenues un enjeu central de l'élection américaine de 2024.
LIRE LE POST
Illustration d'une poupée russe jouet contenant une attaque Rançonlogiciel à l'intérieur de la plus petite.
RAPPORT
Plongez dans l'écosystème russophone des crypto-monnaies illicites
LIRE LE RAPPORT COMPLET
Schéma d'un porc avec le bouclier des forces de l'ordre en surimpression
Étude de cas
En savoir plus sur la façon dont le groupe de travail REACT s'attaque aux problèmes suivants pig butchering
Lire l'étude de cas
Illustration d'une poupée russe jouet contenant une attaque Rançonlogiciel à l'intérieur de la plus petite.
RAPPORT
Explorer les récentes tendances Rançonlogiciel dans l'écosystème cryptographique russophone, y compris le rôle des groupes Rançonlogiciel dans la cybercriminalité mondiale.
OBTENIR LE RAPPORT
Personne tapant sur un clavier d'ordinateur portable avec un filtre bleu foncé.
BLOG POST
Découvrez la vague d'attaques Rançonlogiciel de l'été 2024 et la prolifération de RaaS dans le monde.
LIRE LE POST
RAPPORT
En savoir plus sur le rôle des crypto-monnaies dans le marché international des précurseurs de drogues de synthèse
OBTENIR LE RAPPORT