Ransomware : comment les cybercriminels blanchissent et légalisent leurs gains

Selon nos analyses, Tramp, l’ancien patron de feu-Black Basta, disposait encore récemment d’au moins 20 bitcoins de côté et en contrôlait au moins 2 000 en janvier 2023. Que faire de telles sommes ?

Depuis au moins 2022, celui qui se nomme Oleg Nefedov investit notamment dans des bars lounges haut de gamme, sous une marque dont il détient une part de propriété intellectuelle. L’enseigne est présente dans le monde entier, jusqu’à Dubaï et Abu Dhabi en passant par Baku, Moscou, voire encore Bali. Fin août 2024, il fondait une organisation caritative du nom de Rodina – mère-patrie, en Russe.

Il n’est pas le seul membre de Black Basta à investir le fruit de ses cyberattaques dans l’économie réelle : un autre dispose de biens immobiliers au Moyen-Orient.

Des cas isolés ? Pas nécessairement. D’autres acteurs du ransomware ont revendiqué la propriété de restaurants, y compris aux États-Unis. Mais ils ne reflètent pas nécessairement l’écosystème de la cybercriminalité dans son ensemble. Tout d’abord parce que les acteurs qui y font fortune ne sont pas aussi nombreux que le style de vie de certains pourrait laisser croire. Les récents comptes de l’enseigne LockBit 3.0 le montrent bien.

Le blanchiment des crypto-pépettes n’en est pas moins une préoccupation pour chacune d’entre eux. L’analyste en renseignement sur les menaces cyber et chercheur en cybercriminalité Oleg Lypko a enquêté sur le sujet.

Dans un billet de blog, il explique ainsi que « la plupart des cybercriminels n'ont pas besoin de blanchiment à grande échelle » car ils opèrent « avec des profits modestes qui peuvent être dépensés en espèces ou acheminés via des intermédiaires ».

Dès lors, « seul un groupe limité d'acteurs de haut niveau comme les opérateurs de rançongiciels, les développeurs de logiciels malveillants et les administrateurs de places de marché génèrent suffisamment de revenus pour nécessiter des processus complets de blanchiment et de légalisation ».

Surtout, « le blanchiment des cryptomonnaies n'équivaut pas à la légalisation des revenus : masquer l'origine des fonds via des mélangeurs ou des échanges peut dissimuler les traces sur la blockchain, mais cela ne rend pas l'argent légalement utilisable ».

Le processus de légalisation « nécessite de convertir les produits illicites en revenus qui peuvent être ouvertement déclarés, investis ou dépensés sans attirer l'attention ».

Le maquillage et l'encaissement « sont largement accessibles et structurés : les mélangeurs, les portefeuilles anonymisants et les plateformes d'échange sans KYC sont facilement accessibles ». Oleg Lypko recense ainsi « au moins 44 services » de cette nature « actifs sur les principaux forums russophones, offrant des échanges de cryptomonnaies, du mélange et des livraisons d'espèces dans la CEI, l'Europe et le Moyen-Orient ».

Il décrit la légalisation comme « une phase difficile et sensible » car « transformer des cryptomonnaies illicites en revenus propres et utilisables nécessite une interaction avec le système financier ». Et là, « ceux qui réussissent ont tendance à garder leurs méthodes secrètes en raison des risques juridiques encourus ».

Globalement, relève-t-il, « les stratégies de blanchiment combinent des structures d'entreprises organisées et des systèmes improvisés : la création d'entreprises et l'injection de fonds illicites comme revenus apparents est l'approche la plus couramment discutée pour la légalisation des revenus ».

Ces opérations s’appuient souvent « sur des services clandestins offrant des documents falsifiés et la création de sociétés offshore. Certains acteurs investissent également dans l'immobilier par le biais de transactions informelles, particulièrement dans les pays du Moyen-Orient où la surveillance est faible », explique Oleg Lypko

Et de souligner que « la légalisation est une vulnérabilité potentielle pour les acteurs sophistiqués : même les cybercriminels techniquement compétents comprennent souvent mal les subtilités de la légalisation des revenus. Beaucoup sous-estiment les risques d'exposition liés aux impôts, aux audits et à la conformité ».