Le 7 février 2023, un ressortissant russe a plaidé coupable aux États-Unis d’accusations de blanchiment d’argent et d’avoir tenté de dissimuler la source des fonds obtenus dans le cadre des attaques du rançongiciel Ryuk.
Denis Mihaqlovic Doubnikov, 30 ans, était arrêté à Amsterdam en novembre 2021 avant d’être extradé des Pays-Bas en août 2022. Il attend sa condamnation le 11 avril 2023.
« Entre au moins août 2018 et août 2021, Dubnikov et ses co-conspirateurs ont blanchi le produit des attaques de ransomware Ryuk contre des individus et des organisations aux États-Unis et à l’étranger », a déclaré le ministère de la Justice (DoJ). a dit.
Dubnikov et ses complices se seraient livrés à divers stratagèmes criminels destinés à masquer la piste des produits mal acquis.
Selon le DoJ, une partie de la rançon de 250 Bitcoins payée par une société américaine en juillet 2019 après une attaque de Ryuk a été envoyée à Dubnikov en échange d’environ 400 000 dollars. La crypto a ensuite été convertie en Tether et transférée à un co-conspirateur, qui l’a ensuite échangée contre le renminbi chinois.
Au total, on estime que les parties impliquées dans l’entreprise criminelle ont blanchi au moins 150 millions de dollars dans le paiement des rançons.
Dubnikov est également le co-fondateur de Coyote Crypto et Eggchange, ce dernier ayant son siège à Federation Tower East (ou Vostok), un gratte-ciel très haut connu pour abritent plusieurs entreprises de crypto-monnaie ayant des liens avec le blanchiment d’argent associé aux opérations de ransomware.
Selon Chainalysis, Eggchange reçu plus de 34 millions de dollars de crypto-monnaie provenant des marchés darknet, des escroqueries, des magasins de fraude et des opérateurs de ransomware entre 2019 et 2021.
Ryûkqui est apparu pour la première fois dans le paysage des menaces en 2018, est attribué à un acteur de la menace suivi comme Assistant Araignée et a compromis les gouvernements, les universités, les soins de santé, la fabrication et les organisations technologiques.
Souvent diffusé via des logiciels malveillants de première étape tels que TrickBot ou BazarBackdoor, Ryuk est également un précurseur du rançongiciel Conti, qui a fermé ses opérations en mai 2022 et s’est scindé en unités plus petites.