Un blanchisseur de cryptomonnaie pris au piège après une révélation malheureuse sur les réseaux sociaux

Redoublant pourtant de prudence et de discrétion sur le darknet, il s’est trahi bêtement en affichant ses performances sportives sur des applications et les réseaux sociaux et notamment sa participation au dernier marathon de Valence, en Espagne.

Un Russe de 43 ans a été interpellé le 5 décembre 2023 à Paris grâce aux investigations des enquêteurs et ingénieurs de l’Office anti-cybercriminalité (Ofac) et son antenne bordelaise. Il est soupçonné d’avoir blanchi le paiement des rançons au profit du groupe organisé, « Hive », très actif dans le secteur du rançongiciel.

« Le mode opératoire consiste à attaquer les réseaux informatiques d’entreprises, à les paralyser en chiffrant les fichiers des machines à l’aide d’un logiciel malveillant, puis à demander une rançon et parfois à menacer de divulguer des données exfiltrées en cas de non-paiement », décrit le commissaire divisionnaire Paul Bousquet en fonction à Bordeaux, au service interdépartemental de police judiciaire.

En tout, 1 500 victimes se sont signalées de par le monde et 59 en France. La première entreprise ciblée en France est un laboratoire pharmaceutique des Deux-Sèvres. C’est ce premier fait qui a placé les cyberpoliciers bordelais au cœur de cette enquête. En janvier 2023, la coopération internationale sous l’égide d’Europol a permis de mettre à mal l’organisation aux États-Unis.

Ses portefeuilles numériques, appelés wallets, avaient vu transiter l’équivalent de plusieurs millions de dollars américains d’origine suspecte, dont plus de 3 millions liés aux paiements en cryptoactifs des victimes

Là-bas, le FBI est parvenu à s’infiltrer dans les infrastructures de Hive et à saisir plusieurs serveurs dont le principal et mettre hors ligne des sites du groupe sur le darknet. Restait à identifier des membres de ce vaste réseau d’attaques au rançongiciel. Les investigations se sont donc poursuivies, à la fois dans les méandres et profondeurs du darknet et en « osint » (open source intelligence) – traduction, en source ouverte.

Un suspect a été identifié. Ses portefeuilles numériques, appelés « wallets », avaient vu transiter l’équivalent de plusieurs millions de dollars américains d’origine suspecte, dont plus de 3 millions liés aux paiements en cryptoactifs des victimes.

Très présent sur les réseaux sociaux, le Russe a donc été repéré et localisé à Paris après avoir couru le marathon de Valence la veille. Placé en garde à vue, il a été présenté au parquet spécialisé du tribunal judiciaire de Paris. Mis en examen pour blanchiment aggravé, extorsion en bande organisée, accès frauduleux à un système automatisé de données et association de malfaiteurs, il a été placé en détention provisoire.

Pendant le temps de sa garde à vue, la parfaite coopération avec Europol, Eurojust et les autorités chypriotes a permis d’aller perquisitionner son domicile dans… une station balnéaire chypriote, où 570 000 euros en cryptomonnaie ont été récupérés grâce à l’exploitation de son téléphone portable.

Ainsi baptisé le 1^er décembre dernier, l’Ofac (Office anti-cybercriminalité), fort de son rôle de centralisateur du traitement des rançongiciels, point de contact à l’international disposant d’un maillage territorial fort au service d’un parquet spécialisé, réalise ici sa première affaire d’ampleur.