lundi, décembre 23, 2024

74% des fonds volés lors d’attaques de ransomwares sont allés à des adresses de portefeuille affiliées à la Russie en 2021

Selon Selon un nouveau rapport publié lundi par la société d’analyse de chaînes de blocs Chainalysis, environ 74 %, soit plus de 400 millions de dollars, des revenus des ransomwares l’année dernière ont été acheminés vers des adresses de portefeuille à haut risque susceptibles d’avoir été basées en Russie. Le rapport a analysé les piratages de ransomwares tout au long de 2021 et a déterminé leur affiliation à la Russie à travers trois caractéristiques clés :

  1. Des traces de l’organisation cybercriminelle basée en Russie Evil Corp étant à l’origine d’une violation donnée ; le groupe a des liens présumés avec le gouvernement russe.
  2. Ransomeware programmé uniquement contre les victimes de pays non ex-soviétiques.
  3. Souches de ransomware qui partagent des documents et des annonces en russe.

Outre les critères de sélection, il semble que les données sur le trafic Web confirment que la grande majorité des fonds extorqués sont blanchis via la Russie. 13 % des fonds envoyés depuis des adresses de rançongiciels vers des services sont allés à des utilisateurs qui se trouvaient probablement en Russie, plus que dans toute autre région. Ces souches de rançongiciels infectent généralement l’ordinateur d’un utilisateur via un exploit de programme, ou lors du téléchargement de fichiers inconnus, etc. Ils cryptent ensuite les fichiers de la victime et exigent le paiement via, le plus souvent, Bitcoin (BTC) ou Monero (XMR) à une adresse de portefeuille pour faire les fichiers accessibles.

Un cas célèbre s’est produit l’année dernière lorsque l’entité de piratage basée en Russie Darkside, en exploitant un seul mot de passe divulgué, a infecté les systèmes informatiques de Colonial Pipeline. En conséquence, les opérateurs du pipeline ont été contraints de payer plus de 4 millions de dollars en rançon crypto – dont 2,3 millions de dollars ont été récupérés – pour retrouver l’accès à leurs fichiers cryptés, mais pas avant de provoquer une brève crise de carburant pendant l’épreuve.

Piratage de cryptage de ransomware russe | Source : Reuters