Le département du Trésor sanctionne une bourse d’échange de cryptomonnaies

Sécurité : La bourse de cryptomonnaies Suex, basée en Russie, a été sanctionnée pour son rôle dans la facilitation de transactions issues de ransomwares.

Le département du Trésor américain a annoncé ce mardi des sanctions visant une bourse de cryptomonnaies basée en Russie, baptisée Suex. Celle-ci est accusée d’avoir facilité les transactions provenant de groupes de ransomwares (rançongiciels en français). Il s’agit de l’une des premières mesures publiques et concrètes prises par les Etats-Unis contre les groupes de rançongiciels.

La semaine dernière, le Wall Street Journal a rapporté que le département du Trésor envisageait des sanctions liées aux ransomwares, mais les responsables américains ont expliqué leurs plans en détail mardi.

L’Office of Foreign Assets Control (OFAC) du département du Trésor précise que Suex doit être sanctionné pour son rôle dans la facilitation de « transactions impliquant des produits illicites provenant d’au moins huit variantes de ransomware ».

40 % de transactions douteuses

Les données montrent que plus de 40 % des transactions de la plateforme Suex impliquent des « acteurs illicites », selon le département du Trésor. Ce dernier ajoute que les bourses d’échanges de monnaie virtuelle comme Suex sont « essentielles à la rentabilité des attaques de ransomware, qui contribuent à financer d’autres activités cybercriminelles ».

Les responsables américains précisent qu’il s’agit de la première salve de sanctions contre une bourse d’échange de devises virtuelles et qu’elle a été effectuée en coordination avec le FBI. Ils rappellent néanmoins que toutes les bourses d’échanges de monnaie virtuelle ne travaillent pas avec les groupes de ransomwares, et expliquent que certaines sont exploitées à leur insu par des acteurs malveillants. Mais un certain nombre de bourses travaillent directement avec les groupes de ransomware pour augmenter leurs profits.

« En conséquence de la désignation d’aujourd’hui, tous les biens et intérêts de la cible désignée qui sont soumis à la juridiction américaine sont bloqués, et il est interdit aux citoyens américains d’effectuer des transactions avec elle. En outre, toutes les entités détenues à 50 % ou plus par une ou plusieurs personnes désignées sont également bloquées », indique le département du Trésor à propos de Suex. « En outre, les institutions financières et les personnes qui effectuent certaines transactions ou activités avec les entités et les individus sanctionnés peuvent s’exposer à des sanctions ou faire l’objet d’une action coercitive. La mesure prise aujourd’hui à l’encontre de Suex n’implique pas de lien de sanctions avec un Ransomware-as-a-Service (RaaS) ou une variante particulière. »

Une offensive plus large

La société d’analyse de blockchain Chainalysis – qui a participé à l’enquête – indique que si Suex est enregistrée en République tchèque, elle n’y dispose pas d’un bureau physique et possède de multiples succursales à Moscou et à Saint-Pétersbourg. Il existe également des succursales de Suex en Russie et au Moyen-Orient.

La bourse est devenue populaire auprès des cybercriminels parce qu’elle proposait de convertir les cryptomonnaies détenues en espèces et de faciliter l’échange de cryptomonnaies contre des actifs physiques comme des biens immobiliers, des voitures et des yachts, selon Chainalysis.

Les sanctions font partie d’une offensive plus large visant à perturber l’écosystème des rançongiciels, qui ont rapporté au moins 400 millions de dollars de rançons en 2020.

La secrétaire au Trésor, Janet Yellen, souligne que les groupes de ransomware n’ont pas cessé leurs attaques contre les entreprises, les écoles et les hôpitaux ; tandis que la Maison blanche a intensifié ses efforts pour mettre fin à la vague d’incidents paralysant des centaines d’organisations. Cette semaine, une coopérative agricole américaine a été mise hors service en raison d’une attaque par ransomware. « Nous allons continuer à sévir contre les acteurs malveillants », affirme-t-elle. « Comme les cybercriminels utilisent des méthodes et des technologies de plus en plus sophistiquées, nous sommes déterminés à utiliser toute la gamme de mesures disponible, notamment des sanctions et des outils réglementaires, afin de perturber, de dissuader et de prévenir les attaques par ransomware. »

Les Etats-Unis tentent d’instituer un cadre de lutte contre le blanchiment d’argent et le financement du terrorisme parmi les bourses d’échanges et les entreprises de monnaie virtuelle, afin de perturber la manière dont les groupes de ransomware parviennent à s’en tirer.

L’OFAC a également publié un avis actualisé invitant les entreprises à ne pas payer les rançons et exhortant les organisations à promouvoir des pratiques de cybersécurité plus strictes. L’avis demande aux organisations de contacter les agences gouvernementales américaines en cas d’attaque et de collaborer avec elles. Le gouvernement indique que, par l’intermédiaire de son réseau de lutte contre la criminalité financière, il a recueilli des informations sur les paiements effectués par les ransomwares. Le département du Trésor a utilisé la plateforme Chainalysis et les outils de la société pour mener son enquête sur Suex.

Dans le viseur de Chainalysis

Gurvais Grigg, directeur technique chez Chainalysis, explique à ZDNet que l’entreprise soutient depuis longtemps les efforts des gouvernements en fournissant des informations sur la façon dont les cryptomonnaies sont utilisées par les acteurs malveillants.

« Nous suivons Suex depuis un certain temps. Nous les avons d’abord identifiés en 2019 comme faisant partie d’un groupe relativement restreint de courtiers de gré à gré qui aidait les acteurs malveillants à encaisser une grande quantité de gains mal acquis », raconte-t-il. « C’est une idée fausse courante que les cryptomonnaies sont anonymes et intraçables. Chainalysis fournit depuis longtemps des technologies aux agences gouvernementales pour les aider à enquêter sur les activités illicites utilisant des cryptomonnaies. Nos outils d’investigation ont été utilisés dans certaines des enquêtes récentes les plus médiatisées sur la cybercriminalité, notamment sur les ransomwares, les abus sexuels sur enfants, les marchés du dark net, etc. »

La société a publié un billet de blog expliquant une partie de son rôle dans l’enquête, notant que Suex a déplacé des centaines de millions de dollars de cryptomonnaies – principalement en Bitcoin, Ether et Tether – dont une grande partie provient de sources illicites et à haut risque.

screen-shot-2021-09-21-at-4-43-35-pm.png

Image : Chainalysis.

« Rien qu’en bitcoin, les adresses de dépôt de Suex hébergées sur de grandes bourses d’échange ont reçu plus de 160 millions de dollars de la part de groupes de ransomware, d’escrocs et d’opérateurs de marchés clandestins sur le darknet. L’enquête de Chainalysis révèle que Suex convertit des cryptomonnaies en espèces dans des succursales physiques situées à Moscou et à Saint-Pétersbourg, et peut-être aussi dans d’autres bureaux en dehors de la Russie », souligne Chainalysis.

L’ombre de BTC-e

« Il s’avère également que Suex a reçu pour plus de 50 millions de dollars de bitcoins envoyés depuis des adresses hébergées sur la bourse de cryptomonnaies illicite BTC-e de 2018 à 2021, bien après que BTC-e a été fermée par les autorités américaines suite aux accusations de blanchiment d’argent pour le compte de cybercriminels. »

La société indique qu’en raison de la taille de Suex, sa fermeture « représentera un coup dur pour un grand nombre des plus grands acteurs malveillants opérant aujourd’hui, notamment les principaux groupes de ransomware, les escrocs et les opérateurs de marchés clandestins ».

« Suex fonctionne comme un service imbriqué : cela signifie qu’il fonctionne en utilisant des adresses hébergées par des bourses plus importantes afin d’exploiter les liquidités et les paires de négociations de ces bourses. Bien que de nombreux services imbriqués soient légitimes, certaines bourses ne les soumettent pas à des normes de conformité suffisamment élevées, ce qui signifie qu’ils peuvent être exploités pour le blanchiment d’argent », constate Chainalysis.

Selon les chercheurs de Chainalysis, il existe des liens financiers entre Suex et BTC-e. Malgré la fermeture de BTC-e en 2017, Suex a facilité des transferts au nom d’administrateurs, d’associés ou d’anciens utilisateurs de BTC-e qui « tentaient de liquider des cryptomonnaies hébergées par le service ». Certains des transferts de BTC-e ont eu lieu cette année, alors que la plateforme a été fermée il y a quatre ans.

481 millions de dollars en bitcoins ont été transférés vers Suex depuis son apparition en février 2018, dont près de 13 millions de dollars provenant de groupes de ransomware comme Ryuk, Conti, Maze et autres.

Source : ZDNet.com

Catégories