Getty Images

Ransomware : les bons comptes de l'ancien patron de Conti

Dans la foulée de l'annonce de sanctions européennes à l'encontre de « Stern », Chainalysis a présenté une analyse de ses comptes qui fait ressortir des activités criminelles hautement lucratives.

Selon Chainalysis, les portefeuilles cryptomonnaies de Vitaly Nikolayevich Kovalev, alias Stern, ont enregistré plus de 300 millions de dollars de paiements de rançon. Ce montant représente uniquement la part personnelle de Kovalev des bénéfices générés par le syndicat Trickbot. Le revenu global du groupe est, en revanche, significativement supérieur, ce qui souligne l'échelle massive des opérations de rançongiciel menées par cette entité.

L'envergure des flux de rançon de Trickbot

Stern détenait une position centrale au sein du groupe. Son autorité discrétionnaire couvrait le budget, l'approvisionnement, le recrutement et la planification des attaques. Il était également responsable de la distribution des paiements aux membres de l'équipe, confirmant sa centralité non seulement en termes de revenus, mais aussi dans la gestion des flux de rançon internes du groupe, selon Chainalysis. Les révélations des Conti Leaks indiquent que Stern agissait comme une figure de type « PDG », disposant d'une autorité complète sur le budget du groupe.

L'activité de Stern s'étend à une multitude de souches de rançongiciels. Les analyses des paiements cryptographiques montrent qu'il a transigé avec des groupes tels que Ryuk, Conti, Diavol, Karakurt, Royal, 3am, Quantum et Bitpaymer, confirmant l'étendue de son rôle dans l'écosystème malveillant écosystème malveillant. 

Pour la plupart de ces noms, la surprise est inexistante : Karakurt a bien été identifié comme une filiale de Conti pratiquant l'extorsion simple, sans chiffrement. Ryuk est un prédécesseur de Conti. Diavol, une émanation. Royal, et 3am, des spin-off. Les liens entre Quantum et Conti ont également été établis. D'autres, avec MountLocker, l'ont été plus tard, via l'analyse de négiciations

Que Stern ait reçu des paiements associés à Ragnar Locker et Bitpaymer est plus inattendu, mais permet d'établir que ses activités cybercriminelles remontent au moins à... 2017. Comme un autre ancien de Conti, devenu ensuite leader de Black Basta : Tramp.

Pour approfondir sur Cyberdélinquance