Selon un rapport du Financial Crimes Enforcement Network (FinCEN) du Département du Trésor des États-Unis, des transactions Bitcoin sortantes d'une valeur de 5,2 milliards de dollars US pourraient être liées à des paiements de rançongiciel impliquant les 10 variantes de rançongiciel les plus courantes.
Le rapport a également examiné les rapports d'activité suspecte (SAR) liés aux rançongiciels, c'est-à-dire les rapports effectués par les institutions financières sur des paiements suspects de rançongiciels, au cours du premier semestre de cette année. « La valeur totale des activités suspectes signalées dans les SAR liées aux rançongiciels au cours des six premiers mois de 2021 était de 590 millions de dollars, ce qui dépasse la valeur signalée pour l'ensemble de 2020 (416 millions de dollars) », souligne l'agence. Sans surprise, l'analyse a révélé que les rançongiciels représentent une menace croissante pour le gouvernement, les entreprises et le public.
Le montant total moyen des transactions suspectes liées aux rançongiciels s'élevait à 66 millions de dollars US par mois ; quant à la moyenne médiane, elle était de 45 millions de dollars US par mois. Selon les données obtenues à partir de ces transactions, le bitcoin était le moyen de paiement préféré des cybercriminels. Ce n'est cependant pas le seul, puisque FinCEN a noté que les criminels exigent de plus en plus souvent le paiement de la rançon en Monero, une crypto-monnaie à l'anonymat améliorée (AEC).
EN SAVOIR PLUS : En tant que client, est‑ce qu’on vous refile le paiement des demandes de rançon?
Au total, 17 signalements liés à des rançongiciels impliquaient des demandes de rançon en Monero. Dans certains cas, le cybercriminel fournissait à la fois une adresse en Bitcoin et en Monero, mais il exigeait des frais supplémentaires si le paiement était effectué en Bitcoin. Dans d'autres cas, les attaquants demandaient initialement des frais de rançon uniquement en Monero, mais acceptaient le Bitcoin après quelques négociations.
Les cybercriminels utilisent diverses tactiques de blanchiment d'argent, notamment en exigeant de plus en plus de paiements en cryptomonnaies axées sur la confidentialité, en évitant de réutiliser les adresses de portefeuilles pour de nouvelles attaques ou en blanchissant séparément le produit de chaque attaque de rançongiciel. Le rapport a également constaté que les échanges de CVC centralisés à l'étranger sont le moyen privilégié des attaquants pour encaisser leurs gains mal acquis.
Pour masquer la provenance des pièces numériques, les cybercriminels ont également recours au « saut de chaîne », une procédure qui consiste à échanger au moins une fois un CVC contre un autre avant de transférer leurs gains vers des services entièrement différents. L'année 2021 a également vu une augmentation de l'utilisation de services de mélange - des plateformes qui sont utilisées pour cacher ou obscurcir l'origine ou le propriétaire du CVC. Il est intéressant de noter que FinCEN a observé que l'utilisation des services de mixage varie en fonction de la variante du rançongiciel.
Les gains illicites provenant des rançongiciels sont également blanchis par le biais d'échanges décentralisés et de diverses autres applications de finance décentralisée, les paiements étant convertis en d'autres formes de CVC. « Certaines applications DeFi permettent des transactions automatisées de pair à pair sans qu'il soit nécessaire d'avoir un compte ou une relation de garde. L'analyse par FinCEN des transactions sur la blockchain BTC a permis d'identifier des fonds liés à des rançongiciels envoyés indirectement à des adresses associées à des protocoles ouverts destinés à être utilisés sur des applications DeFi », explique le FinCEN en décrivant le processus.