Le FBI a saisi 2,2 millions de dollars auprès de la filiale des gangs de ransomware REvil et Gandcrab

FBI bitcoins seizure

Le FBI a saisi 2,2 millions de dollars en août auprès d’une filiale bien connue des ransomwares REvil et GandCrab, selon des documents judiciaires consultés par EZpublish-france.fr.

Dans une plainte descellée aujourd’hui, le FBI a saisi 39.89138522 bitcoins d’une valeur d’environ 2,2 millions de dollars dans un portefeuille Exodus le 3 août 2021.

Exodus est un portefeuille de bureau ou mobile que les propriétaires peuvent utiliser pour stocker des crypto-monnaies, notamment Bitcoin, Ethereum, Solana et bien d’autres.

Le FBI n’indique pas comment ils ont eu accès au portefeuille autre que le fait qu’il est sous leur garde, indiquant qu’ils ont probablement eu accès à la clé privée ou à la phrase secrète du portefeuille.

« Les États-Unis d’Amérique déposent cette plainte vérifiée in rem contre 39.89138522 Bitcoin Seize From Exodus Wallet (« la propriété du défendeur ») qui se trouve maintenant et est sous la garde et la gestion du Federal Bureau of Investigation (« FBI ») Division de Dallas, One Justice Way, Dallas Texas », lit-on aux États-Unis Plainte pour confiscation.

La plainte poursuit en disant que le portefeuille contenait des paiements de rançon REvil appartenant à un affilié identifié comme « Aleksandr Sikerin, a/k/a Alexander Sikerin, a/k/a Oleksandr Sikerin » avec une adresse e-mail de ‘engfog1337@gmail.com .’

Bien que le FBI n’indique pas l’alias en ligne de l’acteur menaçant, le nom « engfog » dans l’adresse e-mail est lié à un affilié bien connu de GandCrab et de REvil/Sodinokibi connu sous le nom de « Lalartu ».

Ciblage des affiliés

Les organisations GandCrab et REvil fonctionnaient sous le nom de Ransomware-as-a-Service (RaaS), où les principaux opérateurs s’associent à des pirates tiers, appelés affiliés.

Dans le cadre de cet accord, les principaux opérateurs développeront et géreront le logiciel de cryptage/décryptage, le portail de paiement et les sites de fuite de données. Les affiliés sont chargés de pirater les réseaux d’entreprise, de voler des données et de déployer des ransomwares pour crypter les appareils.

Tout paiement de rançon serait alors réparti entre l’affilié et les opérateurs principaux, les opérateurs gagnant généralement 20 à 30 % de la rançon et les affiliés faisant le reste.

Dans un Rapport REvil de McAfee, les chercheurs ont suivi la piste de l’argent pour un acteur de menace bien connu connu sous le nom de « Lalartu », une filiale des opérations de ransomware GandCrab et REvil.

En 2019, l’acteur de la menace a posté sur un forum de piratage russophone admettant qu’il avait travaillé avec GandCrab et est passé à REvil après la fermeture de l’ancienne opération.

Message de Lalartu sur le forum de piratage russophone
Message de Lalartu sur le forum de piratage russophone
Source : McAfee

Après la publication du rapport, le chercheur en sécurité Alon Gal a tenté de traquer la véritable identité de Lalartu.

Dans le cadre de ses recherches, Gal a suivi Lalartu jusqu’aux alias « Engfog » ou « Eng_Fog », qui correspondent à l’adresse e-mail « engfog1337@gmail.com » figurant dans la plainte du FBI.

Après d’autres conversations avec des chercheurs en sécurité, EZpublish-france.fr a confirmé que Lalartu avait été identifié comme « Aleksandr Sikerin », qui est nommé dans la plainte

En novembre, le ministère de la Justice a annoncé que le FBI avait saisi 6 millions de dollars de rançons versées au gang de ransomware REvil.

On ne sait pas si ces 2,2 millions de dollars font partie du nombre annoncé précédemment ou des rançons supplémentaires saisies par le FBI.

La stratégie continue des forces de l’ordre consistant à perturber l’économie et les systèmes d’affiliation des opérations de ransomware porte ses fruits.

Cette activité a conduit à de nombreuses arrestations et démontages d’infrastructures, notamment :

Les arrestations et la saisie d’infrastructures incitent également les gangs de ransomware à fermer leurs opérations, notamment REvil en octobre et BlackMatter en juillet.

EZpublish-france.fr a contacté le FBI pour lui poser des questions sur les bitcoins saisis et attend une réponse.