Loin de l'image d'Epinal, les groupes de cybercriminels derrière la plupart des ransomwares les plus ravageurs sont désormais hautement professionnalisés et organisés. Parmi ceux-ci, on trouve les groupes aux manettes des destructeurs REvil et Ryuk qui ont fait des centaines voire des milliers de victimes. Et si les entreprises savent bien qu'il ne faut en aucun cas payer les rançons pour cautionner leur fonctionnement, sans assurance en plus de récupérer les données chiffrées, des rançons sont malgré tout versées aux cybercriminels. Alors que l'on apprenait récemment que le groupe REvil avait gagné grâce à ses opérations malveillantes un joli butin de 100 millions de dollars, le concurrent Ryuk a semble-t-il réussi à faire mieux.
D'après un rapport conjoint entre les cabinets spécialisés en cybersécurité Advintel et Hyas, le cybergang aux manettes de Ryuk est assis sur un pactole issu de 150 millions de dollars. « Ryuk reçoit une quantité importante de ses paiements de rançon d'un courtier bien connu qui effectue des paiements au nom des victimes du ransomware. Ces paiements s'élèvent parfois à des millions de dollars et s'élèvent généralement à des centaines de milliers », peut-on lire dans la recherche. Pour parvenir à ce décompte, les chercheurs ont remonté la piste de traces de paiements retrouvés dans 61 adresses de dépôts de fonds avant d'être ensuite ventilés sur des plateformes d'échanges de bitcoins. Le schéma suivant a pu être établi : une victime verse l'argent à un intermédiaire (broker) qui paye ensuite Ryuk - après avoir au passage pris sa commission - avant d'injecter les fonds sur des plateformes d'échanges de bitcoin pas forcément très regardantes sur leur origine. Le tour est joué : les opérateurs malveillants n'ont plus qu'à retirer leur mise.
Du blanchiment d'argent via des plateformes d'échanges de bitcoins
« Les deux principales places d'échange connus sont Huobi et Binance, tous deux situés en Asie. Huobi et Binance sont des choix intéressants car ils prétendent se conformer aux lois financières internationales et sont prêts à participer aux demandes légales, mais sont également structurés d'une manière qui ne les obligerait probablement pas à se conformer », avancent les chercheurs en cybersécurité. « En outre, Huobi et Binance sont des entreprises qui ont été fondées par des ressortissants chinois, mais qui ont transféré leurs activités dans d'autres pays plus favorables aux échanges de crypto-monnaie. Les deux nécessitent des documents d'identité pour échanger des crypto-monnaies ou effectuer des virements vers des banques, mais il n'est pas clairement établi que les documents qu'ils acceptent sont examinés de manière significative ».
La guerre entre les cybergangs de ransomware est donc bel et bien déclarée, tant les enjeux financiers derrière sont importants. Pour autant, REvil et Ryuk ont pris deux chemins opposés pour faire passer à la caisse leurs cibles : alors que le premier mise sur un modèle de rançon adaptatif visant à établir une rançon en phase avec les finances de ses proies afin de maximiser les chances de paiement, cela ne semble pas être le cas de Ryuk qui adopte une stratégie beaucoup plus agressive. « Ryuk n'utilise actuellement pas de chat en ligne comme le font de nombreuses autres opérations de ransomware. Avec la visibilité limitée dont disposent les analystes, il est malheureusement clair que les criminels derrière Ryuk sont très professionnels et n'ont aucune sympathie pour le statut, le but ou la capacité des victimes à payer. Parfois, les victimes tentent de négocier avec Ryuk et leurs offres importantes sont refusées avec une réponse en un mot. Ryuk ne s'embête pas à répondre aux organisations n'ayant pas les moyens de payer ». Pour autant, cela ne veut pas dire que le cybergang derrière Ryuk part à la pêche aux rançons à l'aveuglette car il a identifié en amont la capacité de ses proies à payer sans passer par la case négociation. Pour les cyberpirates aussi, le temps c'est de l'argent.