On entend souvent parler dans les médias des attaques de rançongiciels à grande échelle, mais on est peu informé de ce qui se passe après. Les bitcoins payés par les victimes sont-ils retrouvés, les cybercriminels sont-ils arrêtés ? L’enquête menée par le FBI depuis plusieurs années maintenant sur le rançongiciel (ou « ransomware ») Ryuk est intéressante à suivre à cet égard, et ce même si de nombreuses questions restent encore sans réponse.
Tenant son nom d’un des personnages du manga Death Note, Ryuk (le dieu de la mort), ce rançongiciel a fait l’objet d’une étude spécifique de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Cette agence a notamment la charge de prémunir des attaques informatiques et garantir la sécurité des Français, des entreprises et de la Nation dans le cyberespace (CERTFR-2020-CTI-011.pdf (ssi.gouv.fr) ).
L’ANSSI indique ce que rançongiciel est à l’origine de la compromission de nombreuses entités depuis août 2018. Les cybercriminels ciblent leur victime pour leur rentabilité et leur capacité à payer des rançons de montants élevés. Selon cette Agence, en octobre 2020, Ryuk serait responsable de 75% des attaques sur le secteur de la santé, secteur qu’il attaquerait depuis le premier semestre 2019. Il serait responsable de nombreuses attaques aux Etats-Unis et au Canada.
En France, Ryuk aurait été utilisé en pleine de la Covid 19 contre des hôpitaux de Dax et de Villefranche sur Soane, ainsi que contre l’AFNOR, l’association de normalisation française, qui mettait à disposition un modèle de masque sanitaire. L’Afnor sous le feu du ransomware Ryuk (MAJ) – Le Monde Informatique
Le mode opératoire le plus souvent utilisé par les cyberpirates est l’envoi à la victime d’un courriel d’hameçonnage (ou phishing). Une fois que l’ordinateur a été compromis, les pirates en prennent le contrôle et installe le malware Ryuk qui a la particularité de détruire toutes les sauvegardes. Ce malware chiffre les dossiers des victimes qui ne peuvent plus y accéder sauf à payer aux pirates une rançon généralement en bitcoins.
Or, l’ANSSI indique que le montant des rançons demandées par les cyberpirates RYUK serait en revanche dix fois supérieur à la moyenne des demandes des autres rançongiciels.
Selon le site Avast, expert en cybersécurité, au début de 2021, une analyse des transactions en bitcoins à partir d’adresses bitcoins, connues comme étant utilisées par Ryuk, a révélé que les pirates Ryuk ont arnaqué plus de 150 millions de dollars en paiements de rançon. What Is Ryuk Ransomware and How Does It Spread? | Avast.
Rappelons que les plateformes de change de cryptomonnaies sont un élément clé de la lutte contre les rançongiciels car il y a toujours un moment où les cybercriminels ont besoin de transformer les cryptomonnaies issues des rançons payées par les victimes en argent fiat.
Néanmoins, l’activité des plateformes de change n’est pas facile car elles doivent gérer la régulation naissante dans le secteur, lutter contre les cyberattaques, tout en gardant des fonctionnalités attrayantes pour leurs clients.
En 2020, des chercheurs ont découvert que des bitcoins d’une valeur de plus de 1 million de dollars provenant de plusieurs adresses liées aux attaques de rançongiciel Ryuk étaient passée par un portefeuille sur la plateforme de change Binance au cours des trois années précédentes Over $1M in Ryuk Ransomware Bitcoin Was ‘Cashed Out’ on Binance: Report – CoinDesk.
Interrogée sur les conclusions du rapport, l’équipe de sécurité de Binance a déclaré que la lutte contre le blanchiment d’argent, les rançongiciels et autres activités malveillantes est une entreprise sans fin chez Binance.
L’identification sur la blockhain des activités délictueuses n’est pas chose simple car selon Binance, le destinataire des cryptomonnaies peut être complètement ignorant de la source frauduleuse de la transaction et l’exchange a une grande variété de clients opérant sur sa plateforme.
Le 17 août 2022, le FBI a annoncé avoir obtenu l’extradition d’un des cybercriminels liés aux opérations de blanchiment des fruits du rançongiciel Ryuk. Selon le communiqué, Denis D., un citoyen russe de 29 ans, aurait blanchi en juillet 2019 plus de 400 000 dollars en produits issus des rançons de ce logiciel malveillant. Alleged Russian Money Launderer Extradited from the Netherlands to U.S. | OPA | Department of Justice
En 2021, Denis D., cofondateur de deux plateformes d’échange de cryptomonnaies (Coyote Crypto and EggChange), a souhaité passer des vacances au Mexique. Refusé à l’aéroport de Mexico, il a été mis dans un avion à destination des Pays-Bas. Arrivé à Amsterdam, il a été arrêté, le 2 novembre 2021, en vertu d’un mandat d’arrêt provisoire. Après avoir passé plusieurs mois en prison, il vient d’être extradé aux Etats-Unis.
Les 400 000 dollars blanchis reprochés à Denis D. semblent néanmoins un montant assez faible comparé aux 70 millions de dollars déjà blanchis issus des rançons payées par les victimes de Ryuk.
Il a été auditionné devant une cour fédérale du district de l’Orégon et a plaidé non coupable. Le début de son procès devant un jury est prévu le 4 octobre 2022. S’il est reconnu coupable, Denis D. peut encourir une peine allant jusqu’à 20 ans de prison.
Cette affaire n’est pas sans rappeler celle d’Alexander V., opérateur russe sur la plateforme de change BTC-e, qui lui aussi était parti en vacances, et, qui soupçonné d’avoir blanchi des milliards de dollars venant notamment des fonds dérobés en 2014 sur l’exchange Mt Gox, a été extradé de Grèce vers la France Alexandre Vinnik extradé vers la France – bitcoin.fr. Les juges français l’ont reconnu coupable de blanchiment d’argent et l’ont condamné à 5 ans d’emprisonnement. Alexander V., après avoir été renvoyé en Grèce par les autorités françaises, vient lui aussi d’être extradé vers les Etats-Unis le 4 août dernier. Alleged Russian Cryptocurrency Money Launderer Extradited to United States | OPA | Department of Justice
Ces deux affaires seront intéressantes à suivre du point de vue légal. En effet, il y a très peu de décisions de justice concernant les rançongiciels, car peu de cyberpirates, notamment ceux basés en Russie, sont arrêtés par la police et donc jugés. Ces cas sont les premiers du genre. Les Etats-Unis étant le pays le plus attaqué en matière de cybercriminalité, nul doute que ces affaires feront jurisprudence. Par ailleurs, dans le futur, on peut s’attendre à voir de plus en plus de cybercrimes résolus par l’analyse de la blockchain bitcoin.