Etude | Baisse de 35 % des paiements de rançon en crypto au cours de l’année 2024

En réponse aux durcissement des sanctions et aux changements de comportement des personnes qui ont subi des tentatives, les attaquants auraient eux aussi changé de tactique. Selon le dernier rapport de Chainalysis sur la cryptocriminalité, de nouvelles souches de ransomware émergeant de codes renommés, divulgués ou achetés, reflétant un environnement de menace plus adaptable et agile ont apparu.
Les opérations de ransomware sont également devenues plus rapides, les négociations commençant souvent quelques heures après l’exfiltration des données. Les attaquants vont des acteurs étatiques aux opérations de ransomware-as-a-service (RaaS), aux opérateurs isolés et aux groupes d’extorsion de données, tels que ceux qui ont extorqué et volé des données à Snowflake , un fournisseur de services cloud.

En 2024, les attaquants de ransomware ont reçu environ 813,55 millions de dollars de paiements de la part des victimes, soit une baisse de 35 % par rapport à l’année record de 2023, où 1,25 milliard de dollars avaient été versés, et pour la première fois depuis 2022, les revenus des ransomwares ont diminué.

La valeur extorquée par les attaquants de ransomware entre janvier et juin 2024 a atteint 459,8 millions de dollars, soit environ 2,38 % de plus que la valeur extorquée au cours de la même période en 2023. Le premier semestre 2024 a également vu quelques paiements exceptionnellement importants, comme le paiement record de 75 millions de dollars aux Dark Angels .

Heureusement, l’activité de paiement a ralenti après juillet 2024 d’environ 34,9 %. Ce ralentissement est similaire à la baisse de moitié des paiements de rançon depuis 2021 et à la baisse globale au cours du deuxième semestre 2024 de certains types de crimes liés aux crypto-monnaies, tels que les fonds volés . Il convient de noter que le déclin de cette année est plus prononcé que celui des trois dernières années.

Chainalysis évoque l’efficacité de la collaboration internationale des forces de l’ordre. Par ailleurs, et face à ces collaborations entre services entrainant l’effondrement ou la fermeture de certaines structures, des acteurs isolés s’attaquant à des cibles plus modestes et donc demandant des rançons plus petites, se sont manifesté.
Ainsi, en étudiant les activités des rançongiciels au cours du second semestre, les analystes ont mis à jour que les paiements "on chain" ont diminué, ce qui suggère que davantage de victimes ont été ciblées, mais moins de personnes ont payé.
Ainsi, les sites de fuite de données ont enregistré plus de victimes en 2024 que toute autre année auparavant. Le nombre de sites de fuites de données a lui aussi augmenté. Chainalysis en compte 56 de plus en 2024 soit plus du double du nombre identifié par Recorded Future en 2023.

Par ailleurs, les victimes de ces attaques refuseraient aussi de payer. Les données sur les interventions en cas d’incident montrent que l’écart entre les montants demandés et payés continue de se creuser ; au second semestre 2024, il y avait une différence de 53 % entre les deux facteurs. Les rapports des sociétés d’intervention en cas d’incident suggèrent qu’une majorité de clients choisissent de ne pas payer du tout, ce qui signifie que l’écart réel est plus important.

Selon cette étude de Chainalysis, les fonds de rançon auraient principalement transité par des échanges centralisés (CEX) (utilisés pour les transferts de fonds), des portefeuilles personnels (pour conserver des fonds) et des passerelles (pour tenter de masquer le mouvement des fonds).
"Nous notons une baisse substantielle de l’utilisation des mixeurs en 2024. Historiquement, les services de mixage captaient régulièrement entre 10 % et 15 % des flux trimestriels de blanchiment d’argent liés aux ransomwares. Le déclin du mixage parmi les acteurs des ransomwares au fil des ans est très intéressant et témoigne de l’impact perturbateur des sanctions et des mesures d’application de la loi, telles que celles contre Chipmixer, Tornado Cash et Sinbad. Au lieu des mixeurs, nous avons constaté que les acteurs des ransomwares s’appuient de plus en plus sur des passerelles inter-chaînes pour faciliter leur transfert de fonds. En revanche, les CEX continuent d’être un pilier de la diffusion des ransomwares, avec une dépendance légèrement supérieure à la moyenne sur ces types de services en 2024 (39 % contre 37 % pour la période entre 2020 et 2024)." indique l’étude.

Il est vrai que les portefeuilles personnels détiennent désormais des volumes considérables, cependant, les opérateurs de ransomware, un groupe principalement motivé par des raisons financières, s’abstiennent plus que jamais de retirer de l’argent. Une réaction qui serait due à la prudence. Ces acteurs craindraient les actions imprévisibles des forces de l’ordre.

L’étude note le déclin de l’utilisation des exchanges sans KYC depuis octobre 2024. Un constat qu’elle attribue à la désignation de l’exchange basé en Russie Cryptex et à la saisie par la police criminelle fédérale allemande (BKA) de 47 échanges cryptographiques sans KYC en langue russe – tous deux en septembre 2024. "Le calendrier de ces mesures d’application, associé à la période où les flux de ransomware vers les échanges sans KYC ont diminué, est évident."

Cependant, Chainalysis rappelle que les ransomwares constituent véritablement une menace mondiale, impliquant des acteurs du monde entier.

En 2024, les ransomwares ont été le reflet des changements induits par les mesures des forces de l’ordre, de l’amélioration de la résilience des victimes et des nouvelles tendances en matière d’attaques. Les mesures de répression et la collaboration avec les sociétés de réponse aux incidents et les experts en blockchain ont contribué à perturber de nombreux groupes de ransomware, réduisant ainsi leur rentabilité. Les victimes ont également fait preuve d’une plus grande résistance aux demandes de rançon, creusant l’écart entre les demandes et les paiements.

Les stratégies financières continuent de s’adapter sous la pression des forces de l’ordre, même si les acteurs malveillants ont de plus en plus de difficultés à blanchir les paiements des victimes. Une collaboration soutenue et des défenses innovantes resteront essentielles pour poursuivre les progrès réalisés en 2024.

Consultez le rapport

ou
Rapport

Chainalysis est la plateforme de données blockchain. Nous fournissons des données, des logiciels, des services et des recherches aux agences gouvernementales, aux bourses, aux institutions financières et aux compagnies d’assurance et de cybersécurité dans plus de 70 pays. Nos données alimentent les logiciels d’investigation, de conformité et d’intelligence économique qui ont été utilisés pour résoudre certaines des affaires criminelles les plus médiatisées au monde et pour accroître l’accès des consommateurs aux crypto-monnaies en toute sécurité. Soutenue par Accel, Addition, Benchmark, Coatue, GIC, Paradigm, Ribbit et d’autres sociétés de capital-risque de premier plan, Chainalysis renforce la confiance dans les blockchains afin de promouvoir une plus grande liberté financière avec moins de risques.
Chainalysis

Chainalysis acquiert Hexagate, fournisseur de solutions de sécurité WEB3
Etude | L’activité mondiale des crypto-monnaies en augmentation, fait mieux qu’en 2021
Etude | Les crypto-criminels n’ont blanchi "que" 22Mds$ l’an dernier, en baisse de 30% par rapport à 2022
Chainalysis dévoile son quatrième index mondial sur l’adoption des cryptomonnaies.