Le groupe DarkSide avait mis en place un modèle commercial de Ransomware-as-a-Service où des affiliés procèdent à des infections et négocient le paiement d'une rançon. Pour une valeur de l'ordre de 7 millions de dollars, il a déplacé la semaine dernière des fonds en bitcoins qui étaient longtemps restés inactifs.

Ce mouvement a été repéré par l'entreprise d'analyse de cryptomonnaies Elliptic. En l'espace de quelques heures, les fonds ont été transférés dans plusieurs nouveaux portefeuilles numériques avec de petites quantités à chaque étape.

" Il s'agit d'une technique courante de blanchiment d'argent, utilisée pour tenter de rendre les fonds plus difficiles à suivre et pour faciliter leur conversion en monnaie fiduciaire lors d'échanges ", écrit Elliptic.

hacker

Crainte de nouvelles représailles après REvil

Le manège a débuté dans la foulée d'une information de Reuters à propos d'une opération de piratage du groupe de ransomware REvil menée par des forces de l'ordre, et avec notamment la contribution de la cyberamée américaine.

Le code du ransomware utilisé par DarkSide a souvent été comparé à celui utilisé par REvil. DarkSide a été associé à la cyberattaque par ransomware qui avait touché et paralysé pendant plusieurs jours l'un des plus importants oléoducs des États-Unis opéré par l'entreprise Colonial Pipeline.

Selon Elliptic, DarkSide avait reçu l'équivalent d'un peu plus de 90 millions de dollars avec les paiements de rançons en bitcoins d'une cinquantaine de victimes avant de mettre fin à ses opérations après la (trop) grosse attaque contre Colonial Pipeline.

Au mois de mai, le groupe avait laissé entendre qu'une partie de son infrastructure avait été saisie par les autorités. Il était toutefois réapparu avec une nouvelle infrastructure et le nom de BlackMatter.