Le département américain du Trésor a imposé des sanctions à une femme russe pour sa participation au blanchiment de monnaie virtuelle destinée aux élites du pays et aux équipes de cybercriminels, dont le groupe de ransomware Ryuk.
Ekaterina Zhdanova, selon le département, aurait facilité d’importantes transactions transfrontalières pour aider les citoyens russes à accéder aux marchés financiers occidentaux et à contourner les sanctions internationales.
« Zhdanova utilise des entités qui ne disposent pas de contrôles de lutte contre le blanchiment d’argent et le financement du terrorisme (AML/CFT), telles que Garantex Europe OU (Garantex), l’échange de crypto-monnaie russe désigné par l’OFAC », a déclaré le département du Trésor la semaine dernière.
« Zhdanova s’appuie sur de multiples méthodes de transfert de valeur pour déplacer des fonds à l’échelle internationale. Cela inclut l’utilisation d’espèces et l’exploitation de connexions avec d’autres associés et organisations internationaux de blanchiment d’argent. »
Il convient de noter que Garantex avait déjà été sanctionné par les États-Unis en avril 2022, coïncidant avec le démantèlement du marché du dark web connu sous le nom d’Hydra.
Zhdanova a également été accusée d’avoir offert des services à des personnes liées au groupe russe de ransomware Ryuk, blanchissant plus de 2,3 millions de dollars de paiements présumés aux victimes pour le compte d’une filiale du ransomware Ryuk en 2021.
Ryuk, un prédécesseur du ransomware Conti, est apparu pour la première fois dans le paysage des menaces en 2018 et a compromis des gouvernements, des universités, des organisations de soins de santé, de fabrication et de technologie du monde entier.
Plus tôt en février dernier, un citoyen russe de 30 ans, Denis Mihaqlovic Dubnikov, a plaidé coupable aux États-Unis pour des accusations de blanchiment d’argent et pour avoir tenté de dissimuler la source des fonds obtenus dans le cadre des attaques du ransomware Ryuk.
Les ransomwares continuent d’évoluer
Cette évolution intervient alors qu’un nombre record de 514 victimes de ransomware ont été signalées pour le mois de septembre 2023, enregistrant une augmentation de 153 % d’une année sur l’autre, contre 502 en juillet et 390 en août.
Près de 100 de ces attaques ont été attribuées à des groupes naissants comme LostTrust et RansomedVC. Certains des autres nouveaux venus observés ces derniers mois incluent Dark Angels, Knight, Money Message et Good Day.
« Les niveaux records d’attaques de ransomwares sont en partie le résultat de l’émergence de nouveaux acteurs malveillants, notamment RansomedVC », a déclaré le groupe NCC à la fin du mois dernier.
« RansomedVC fonctionne comme des « testeurs d’intrusion ». Cependant, son approche de l’extorsion intègre également l’affirmation selon laquelle toute vulnérabilité découverte dans le réseau de ses cibles sera signalée conformément au Règlement général sur la protection des données (RGPD) européen.
L’afflux de nouveaux groupes démontre l’évolution du paysage des ransomwares, alors même que les acteurs de la menace les plus établis continuent d’adapter et d’affiner leurs tactiques et techniques pour esquiver les contrôles de sécurité.
Le mois dernier, l’unité 42 de Palo Alto Networks a signalé l’ajout par BlackCat d’un utilitaire nommé Munchkin à son arsenal afin de propager la charge utile du ransomware vers des machines distantes et des partages sur le réseau d’une organisation victime.
« Cet outil fournissait un système d’exploitation basé sur Linux exécutant Sphynx », ont déclaré les chercheurs de l’Unité 42. « Les opérateurs de menaces peuvent utiliser cet utilitaire pour exécuter BlackCat sur des machines distantes ou pour le déployer pour chiffrer le bloc de messages de serveur (SMB)/les partages de fichiers Internet communs (CIFS) distants. »
La diversification des ransomwares est attestée par le fait que des collectifs hacktivistes tels que GhostSec – qui fait partie de The Five Families – sont entrés dans la mêlée, en lançant un casier personnalisé appelé GhostLocker pour obtenir un gain financier.
« Même si GhostLocker ne réussit pas dans le [ransomware-as-a-service] marché, il semble évident qu’il s’agit d’un tournant en tant que modèle », a déclaré SOCRadar. « Le fait qu’il soit relativement bon marché, fonctionne avec un pourcentage très faible et soit accessible à presque tout le monde peut augmenter les attaques de ransomware à de graves niveaux. les niveaux. »
La société de cybersécurité Uptycs, dans sa propre analyse de GhostSec et GhostLocker, a décrit cette décision comme un « écart surprenant par rapport à leurs activités passées et à leur programme déclaré », étant donné l’histoire du collectif visant à cibler les entités israéliennes en faveur de la Palestine.
L’augmentation des attaques de ransomwares a également incité une alliance de 50 pays, appelée International Counter Ransomware Initiative, à s’engager à ne jamais payer de demandes de rançon dans le but de décourager les acteurs motivés par l’argent et les gangs de ransomwares de profiter de tels stratagèmes.
« Pour se protéger contre les ransomwares, il est impératif d’adopter une stratégie de défense globale », a déclaré Uptycs. « Cette stratégie doit englober des systèmes de sauvegarde résilients, des logiciels de sécurité efficaces, une formation des utilisateurs et un plan proactif de réponse aux incidents. »
