Le département américain du Trésor a imposé des sanctions à une femme russe pour sa participation au blanchiment de monnaie virtuelle destinée aux élites du pays et aux équipes de cybercriminels, dont le groupe de ransomware Ryuk.
Ekaterina Zhdanova, selon le département, aurait facilité d’importantes transactions transfrontalières pour aider les citoyens russes à accéder aux marchés financiers occidentaux et à contourner les sanctions internationales.
« Zhdanova utilise des entités qui ne disposent pas de contrôles de lutte contre le blanchiment d’argent et le financement du terrorisme (AML/CFT), telles que Garantex Europe OU (Garantex), l’échange de crypto-monnaie russe désigné par l’OFAC », a déclaré le département du Trésor. dit la semaine dernière.
« Zhdanova s’appuie sur de multiples méthodes de transfert de valeur pour déplacer des fonds à l’échelle internationale. Cela inclut l’utilisation d’espèces et l’exploitation de connexions avec d’autres associés et organisations internationaux de blanchiment d’argent. »
Il convient de noter que Garantex avait déjà été sanctionné par les États-Unis en avril 2022, coïncidant avec le démantèlement du marché du dark web connu sous le nom d’Hydra.
Zhdanova a également été accusée d’avoir offert des services à des personnes liées au groupe russe de ransomware Ryuk, blanchissant plus de 2,3 millions de dollars de paiements présumés aux victimes pour le compte d’une filiale du ransomware Ryuk en 2021.
Ryuk, un prédécesseur du ransomware Conti, est apparu pour la première fois dans le paysage des menaces en 2018 et a compromis des gouvernements, des universités, des organisations de soins de santé, de fabrication et de technologie du monde entier.
Plus tôt en février dernier, un citoyen russe de 30 ans, Denis Mihaqlovic Dubnikov, a plaidé coupable aux États-Unis pour des accusations de blanchiment d’argent et pour avoir tenté de dissimuler la source des fonds obtenus dans le cadre des attaques du ransomware Ryuk.
Les ransomwares continuent d’évoluer
Le développement constitue un record 514 victimes de rançongiciels ont été signalés pour le mois de septembre 2023, enregistrant une augmentation de 153 % d’une année sur l’autre, contre 502 en juillet et 390 en août.
Près de 100 de ces attaques ont été attribuées à des groupes naissants comme Confiance perdue et RansomedVC. Parmi les autres nouveaux entrants observés ces derniers mois figurent Anges noirs, Chevalier, Message d’argentet Bonne journée.
« Les niveaux records de attaques de rançongiciels sont en partie le résultat de l’émergence de nouveaux acteurs de la menace, notamment RansomedVC », a déclaré NCC Group à la fin du mois dernier.
« RansomedVC fonctionne comme des « testeurs d’intrusion ». Cependant, son approche de l’extorsion intègre également l’affirmation selon laquelle toute vulnérabilité découverte dans le réseau de ses cibles sera signalée conformément au Règlement général sur la protection des données (RGPD) européen.
L’afflux de nouveaux groupes démontre l’évolution du paysage des ransomwares, alors même que plus établi acteurs de la menace continuer à s’adapter et affiner leurs tactiques et techniques à esquiver les contrôles de sécurité.
Le mois dernier, l’unité 42 de Palo Alto Networks a signalé l’ajout par BlackCat d’un utilitaire nommé Munchkin à son arsenal afin de propager la charge utile du ransomware vers des machines distantes et des partages sur le réseau d’une organisation victime.
« Cet outil fournissait un système d’exploitation basé sur Linux exécutant Sphynx », chercheurs de l’Unité 42. dit. « Les opérateurs de menaces peuvent utiliser cet utilitaire pour exécuter BlackCat sur des machines distantes ou pour le déployer pour chiffrer le bloc de messages de serveur (SMB)/les partages de fichiers Internet communs (CIFS) distants. »
La diversification des ransomwares est attestée par le fait que des collectifs hacktivistes tels que FantômeSec – qui fait partie de The Five Families – est entré dans la mêlée en lançant un casier personnalisé appelé GhostLocker pour un gain financier.
« Même si GhostLocker ne réussit pas dans le [ransomware-as-a-service] marché, il semble évident qu’il s’agit d’un tournant en tant que modèle », SOCRadar dit. « Le fait qu’il soit relativement peu coûteux, qu’il fonctionne avec un pourcentage très faible et qu’il soit accessible à presque tout le monde peut augmenter les attaques de ransomware à des niveaux graves. »
La société de cybersécurité Uptycs, dans sa propre analyse de GhostSec et GhostLocker, a décrit cette décision comme un « écart surprenant par rapport à leurs activités passées et à leur programme déclaré », étant donné l’histoire du collectif visant à cibler les entités israéliennes en faveur de la Palestine.
L’augmentation des attaques de ransomwares a également incité une alliance de 50 pays, appelée International Counter Ransomware Initiative, promis ne jamais payer de demandes de rançon dans le but de décourager les acteurs motivés par l’argent et les gangs de ransomwares de profiter de tels stratagèmes.
« Pour se protéger contre les ransomwares, il est impératif d’adopter une stratégie de défense globale », Uptycs dit. « Cette stratégie doit englober des systèmes de sauvegarde résilients, des logiciels de sécurité efficaces, une formation des utilisateurs et un plan proactif de réponse aux incidents. »