Rançons : les sanctions internationales font peser de nouveaux risques

Début septembre, les États-Unis et le Royaume-Uni ont annoncé de nouvelles sanctions à l’encontre de membres du tristement célèbre groupe Conti/Trickbot. 

Le groupe cybercriminel visé par des sanctions aurait extorqué au moins 27 millions de livres sterling à 149 victimes au Royaume-Uni, et au moins 800 millions de dollars à travers le monde, selon les estimations de Chainalysis. 

Ces sanctions font suite à une série de désignations visant le même groupe en février de cette année, et elles comprennent des interdictions de voyage ainsi que le gel des avoirs des 18 cybercriminels ciblés, visant dès lors à perturber leurs opérations de rançongiciel.

L’annonce des premières sanctions était venue conforter certaines fuites survenues à la suite de prise de position de Conti en faveur de la Russie, lors de l’invasion de l’Ukraine. Les identités de Baget, Mushroom, Strix et Tropa avaient à cette occasion déjà été dévoilées. Celles d’Iseldor et de Globus étaient toutefois inconnues. L’identité prêtée à Bentley lors des fuites sur Conti était différente de celle révélée par les autorités américaines.

Dans un communiqué de presse, le département du Trésor américain explique que « tous les biens et intérêts dans les biens de ces personnes qui se trouvent aux États-Unis ou qui sont en la possession ou sous le contrôle de personnes américaines doivent être bloqués et signalés à l’OFAC ». 

Qui plus est, « les personnes qui effectuent certaines transactions avec les personnes désignées aujourd’hui peuvent elles-mêmes être exposées à la désignation. En outre, toute institution financière étrangère qui, en connaissance de cause, facilite une transaction importante ou fournit des services financiers importants à l’une des personnes ou entités désignées aujourd’hui pourrait faire l’objet de sanctions américaines concernant les comptes de correspondants ou les comptes de passage ».

D’où la question d’éventuels paiements de rançon. Car pour l’essentiel, les Conti sont toujours actifs, cachés derrière des faux-nez. Trend Micro s’est à juste titre récemment fendu de recommandations à l’intention des RSSI et des conseils d’administration. 

En juillet 2020, Garmin a été victime d’une cyberattaque. Une rançon a été versée, mais l’une des compagnies d’assurance sollicitées par Garmin pour l’indemniser avait refusé, invoquant le risque d’être sanctionnée par les autorités américaines. Selon elle, le groupe Evil Corp avait été impliqué dans l’attaque et il faisait l’objet de sanction. 

Mais la Justice suisse vient de trancher : selon elle, cette attribution n’a pas été établie de façon définitive, et, selon l’agence Awp, « il n’a pas été établi que la participation à la rançon payée par son client entraînerait forcément des sanctions outre-Atlantique » à l’assureur.