Ransomware : les comptes bien replets des cybercriminels

L’agence britannique de lutte contre la criminalité (NCA) vient de publier l’une des dernières révélations – pour le moment – de l’opération Cronos lancée cette semaine contre la franchise mafieuse LockBit. Elle porte sur l’état de ses finances.

« Partenaire clé de l’enquête britannique, l’unité régionale de lutte contre la criminalité organisée du Sud-Ouest, soutenue par Chainalysis, a mené le suivi et la surveillance de milliers d’adresses de cryptomonnaies liées à Lockbit », peut-on lire.

L’analyse fait ressortir « des centaines de milliers de dollars de cryptoactifs sur plus de 85 comptes actuellement restreints par Binance ». 

En tout, quelque 30 000 adresses Bitcoin ont été identifiées, dont plus de 500 sont présentées comme actives et ayant reçu près de 100 millions de livres sterling, au cours actuel du Bitcoin. Il y aurait là un trésor de guerre considérable, avec plus de 2 200 btc n’ayant pas été dépensés : « ces fonds représentent une combinaison des paiements des victimes et de LockBit », dont une part dite « élevée » relèvera de la commission de 20 % payée par les affidés aux opérateurs de la franchise.

De quoi faire dire aux analystes que le montant total des rançons payées est « dès lors bien, bien supérieur ». Et cela, d’autant plus que l’analyse ne couvre pas toute la période durant laquelle LockBit est réputé avoir été en activité : elle ne porte que sur 18 mois, de juillet 2022 à février 2024. Ce n’est pas une surprise : l’opération Cronos a touché l’infrastructure de LockBit 3.0, lancé officiellement à la fin juin 2022.

Il n’y a pas que LockBit qui soit assis sur un important trésor de guerre. Cela vaut aussi pour certains membres de la plus ou moins disparue entreprise cybercriminelle Conti.

Début mai 2022, Vertex Project s’est penché sur les données internes à Conti qui venaient d’être rendues publiques à la suite de l’invasion de l’Ukraine par la Russie. Une vidéo présentait alors leur travail d’analyse.

Celle-ci a fait ressortir une adresse bitcoin ayant servi d’important nœud de consolidation des flux financiers de Conti. Rien moins que 500 bitcoins y ont dormi durant plusieurs mois, avant d’être regroupés avec d’autres, mi-janvier 2023, à une nouvelle adresse où quelques 2 000 bitcoins ont été consolidés.