Le département américain de la Justice (DOJ) a annoncé lundi que les «infrastructures critiques» utilisées par le groupe de rançongiciels BlackSuit (Royal) avaient été démantelées avec succès.
Successeur du groupe de ransomware Royal, BlackSuit est responsable d'avoir ciblé plus de 450 Américains dans les secteurs de la santé, de l'éducation, de la sécurité publique, de l'énergie et du gouvernement, et est lié à plusieurs attaques mondiales depuis 2022.
L'opération coordonnée et baptisée l'opération «Checkmate» - ou «Échec et mat» en français visait spécifiquement les groupes Royal et BlackSuit. Elle a été menée par l'ICE (Immigration and Customs Enforcement) du DHS (Department of Homeland Security) avec l'aide des services répressifs internationaux du Canada, du Royaume-Uni, de l'Allemagne, de l'Irlande, de la France, de l'Ukraine et de la Lituanie, a indiqué l'ICE dans un communiqué de presse.
L'opération a permis de saisir quatre serveurs, neuf domaines et environ 1 million de dollars américains de produits blanchis le 24 juillet, en plus d'une monnaie virtuelle estimée à environ 1,1 million de dollars, qui a été saisie vers le 21 juin 2024, selon le DOJ.
Le groupe BlackSuit et le groupe Royal ont extorqué au total plus de 370 millions de dollars en rançons, sur la base de la valeur actuelle des cryptomonnaies, a déclaré l'ICE.
«Perturber l'infrastructure des ransomwares ne consiste pas seulement à démanteler des serveurs, mais aussi à démanteler tout l'écosystème qui permet aux cybercriminels d'opérer en toute impunité», a déclaré Michael Prado, directeur adjoint adjoint du Cyber Crimes Center (C3) de la Homeland Security Investigation (HSI).
Ces groupes utilisaient une «double stratégie d'extorsion» consistant à crypter les systèmes d'exploitation des victimes tout en menaçant de divulguer les données personnelles volées afin de les contraindre à payer.
«Cette opération porte un coup dur à l'infrastructure et aux activités de BlackSuit», a déclaré William Mancino, agent spécial chargé de la division des enquêtes criminelles des services secrets américains, dans un communiqué de presse.
Les victimes royales sont généralement tenues de payer une rançon en cryptomonnaie en accédant à un site web du darknet, selon le communiqué de presse.
Selon le département américain de la Justice, l'une des victimes a payé une rançon de 49,3120227 bitcoins vers le 4 avril 2023, soit environ 1,44 million de dollars au moment de la transaction, pour décrypter ses données. Une partie de cette rançon a été déposée et retirée à plusieurs reprises via un compte en monnaie virtuelle, ce qui a conduit au gel des fonds vers le 9 janvier 2024.
Le bureau du procureur fédéral du district est de Virginie continue de collaborer avec les autorités judiciaires internationales dans le cadre de cette affaire.
Au début de l'année 2024, des agences judiciaires du monde entier, notamment le Federal Bureau of Investigation (FBI), Europol et la National Crime Agency du Royaume-Uni, ont collaboré pour démanteler un site web clandestin lié au groupe de ransomware Lockbit, qui avait extorqué plus de 120 millions de dollars à plus de 2000 victimes dans le monde entier. Surnommée opération «Cronos», cette opération conjointe s'inscrivait dans le cadre d'une campagne internationale visant à perturber les principales opérations de cybercriminalité à travers le monde.
