En 2021, les ransomwares ont extorqué au moins 602 millions de dollars en cryptomonnaies, selon le rapport Chainalysis Crypto Crime Report 2022. Ce chiffre est présenté par Chainalysis comme une estimation basse : lors de la publication du rapport précédent sur 2020, le montant initial de 350 millions de dollars avait dû être revu à la hausse de 50 %, pour atteindre 692 millions. Le phénomène reste minoritaire dans le volume total crypto, mais concentre une attention réglementaire croissante.
En bref
- Chainalysis estime les paiements ransomware à 602 M$ pour 2021, contre 692 M$ en 2020 (chiffre révisé à la hausse après publication initiale)
- Le groupe Conti, d’origine russe, est responsable d’environ 180 M$ soit 30 % du total 2021
- 140 “souches” différentes de ransomwares actives en 2021, contre 79 en 2019 (Chainalysis)
- L’affaire Colonial Pipeline (mai 2021) : 5 M$ payés en Bitcoin, partiellement récupérés par le DoJ
- La part des activités criminelles dans le volume total crypto reste inférieure à 0,15 % selon Chainalysis
Pourquoi les ransomwares utilisent-ils les cryptomonnaies ?
Les ransomwares utilisent les cryptomonnaies comme Bitcoin ou Monero pour les paiements parce que ces actifs permettent des transferts internationaux sans intermédiaire bancaire et avec une relative résistance à la censure. Chainalysis estimait en 2022 que les activités criminelles représentaient moins de 0,15 % du volume total crypto. Mais en valeur absolue, les montants extorqués restent considérables.
Bitcoin reste le moyen de paiement dominant dans les ransomwares, malgré sa traçabilité. La raison est pratique : il est plus facile à convertir en monnaies fiduciaires pour les groupes criminels. Les enquêteurs du DoJ l’ont démontré en récupérant 2,3 millions de dollars du paiement Colonial Pipeline en juin 2021, en accédant au wallet privé du groupe DarkSide.
[INTERNAL-LINK: traçabilité Bitcoin → article sur l’analyse blockchain et la traçabilité des transactions]
Quel était l’ampleur des ransomwares en 2021 ?
Les 602 millions de dollars identifiés par Chainalysis pour 2021 sont issus d’une analyse des flux on-chain connus. Chainalysis précise clairement que ce montant est sous-estimé : de nouvelles adresses de wallets liées à des groupes criminels sont régulièrement identifiées après la publication des rapports. Lors du rapport 2020, la révision à la hausse post-publication a été de 50 %.
En appliquant ce facteur de révision à 2021, le montant réel pourrait dépasser 900 millions de dollars. Le FBI a de son côté reçu 3 729 plaintes pour ransomware en 2021 selon son Internet Crime Report, pour des pertes déclarées de 49 millions de dollars, un chiffre bien inférieur car il ne comptabilise que les victimes ayant formellement porté plainte.
[UNIQUE INSIGHT] L’écart entre les 49 M$ du FBI et les 602 M$ de Chainalysis reflète deux méthodologies radicalement différentes. Le FBI compte les pertes déclarées par les victimes aux États-Unis. Chainalysis trace les flux blockchain mondiaux vers des wallets identifiés comme criminels. Ce dernier indicateur est structurellement plus fiable pour mesurer le phénomène dans sa globalité, car de nombreuses victimes ne portent pas plainte.
Quels groupes étaient les plus actifs en 2021 ?
Conti, un groupe d’origine russe, a dominé le paysage des ransomwares en 2021 avec une ardoise estimée à plus de 180 millions de dollars, soit environ 30 % du total identifié. Sa régularité et son volume le distinguaient des autres “souches” plus opportunistes. Conti opérait comme une organisation criminelle structurée, avec des employés, des RH, et même des politiques internes.
DarkSide fut la deuxième “souche” la plus médiatisée, responsable de l’attaque Colonial Pipeline en mai 2021. Cette attaque paralysa une partie du réseau de distribution de carburant de la côte Est américaine. Le groupe reçut 5 millions de dollars en bitcoin avant de disparaître, probablement dissous après la pression internationale qui s’ensuivit.
[PERSONAL EXPERIENCE] L’affaire Colonial Pipeline a marqué un tournant dans la prise de conscience des gouvernements sur la menace ransomware. Avant mai 2021, les victimes étaient surtout des entreprises privées ou des hôpitaux. Paralyser une infrastructure critique nationale a déclenché une réponse de l’administration Biden qui a élevé les ransomwares au rang de menace à la sécurité nationale.
Comment la lutte contre les ransomwares a-t-elle évolué ?
Depuis 2021, les agences gouvernementales américaines ont considérablement renforcé leurs capacités d’analyse blockchain pour tracer les fonds extorqués. Le DoJ a démontré cette capacité avec la récupération des fonds Colonial Pipeline. L’OFAC (Office of Foreign Assets Control) a sanctionné plusieurs exchanges utilisés comme rampes de sortie par des groupes criminels.
Les groupes de ransomwares ont répondu en migrant vers des cryptomonnaies plus confidentielles comme Monero (XMR). Chainalysis signalait dans ses rapports successifs une proportion croissante de demandes de rançon libellées en Monero. Cette migration complique le travail des enquêteurs, car Monero utilise des ring signatures et des adresses furtives qui résistent à l’analyse on-chain standard.
[INTERNAL-LINK: Monero et confidentialité → article sur le fonctionnement de Monero]
Questions fréquentes
Combien de dollars ont été extorqués par ransomware en 2021 ?
Chainalysis identifie au moins 602 millions de dollars de paiements ransomware en cryptomonnaies pour 2021. Ce chiffre est reconnu comme sous-estimé par Chainalysis elle-même. En appliquant la marge de révision historique de 50 %, le montant réel pourrait dépasser 900 millions de dollars. Les paiements en 2020 ont été révisés de 350 M$ à 692 M$ après publication initiale.
Peut-on récupérer une rançon crypto après paiement ?
Oui, dans certains cas. Le DoJ américain a récupéré 2,3 millions de dollars du paiement Colonial Pipeline en accédant au wallet privé du groupe DarkSide. Ces récupérations restent l’exception. Elles nécessitent une rapidité d’action, des erreurs opérationnelles du groupe criminel, ou une saisie physique des accès. La traçabilité on-chain de Bitcoin facilite le travail des enquêteurs, contrairement à Monero.
Quelles cryptomonnaies sont utilisées dans les ransomwares ?
Bitcoin reste la cryptomonnaie dominante pour les paiements de rançons, principalement pour sa facilité de conversion. Depuis 2021-2022, Monero (XMR) est de plus en plus demandé par les groupes sophistiqués pour sa confidentialité native. Les ransomwares comme REvil et certaines variantes de Conti ont commencé à exiger du XMR ou offrir des réductions pour les paiements en Monero.
Sources
-
HACKS & SÉCURITÉPamStealer vole mots de passe, keychains et wallets crypto
-
HACKS & SÉCURITÉStep Finance : un hack de 21,4 M$ blanchis via Tornado Cash