Le DOJ saisit 2,8 millions de dollars en crypto liés au ransomware Zeppelin

Le Département de la Justice des États-Unis (DOJ) a déposé mercredi six mandats fédéraux autorisant la saisie de plus de 2,8 millions de dollars en cryptomonnaie, ainsi que 70 000 dollars en espèces et un véhicule de luxe, d’un homme accusé d’avoir dirigé le célèbre et désormais disparu système de ransomware Zeppelin.

Selon le DOJ, le suspect, Ianis Aleksandrovich Antropenko, est accusé par acte d’accusation dans le district nord du Texas de complot en vue de commettre une fraude et un abus informatique, de fraude et d’abus informatique, et de complot en vue de commettre du blanchiment d’argent.

« Comme allégué dans les mandats non scellés, la cryptomonnaie et d’autres actifs sont des produits de (ou ont été impliqués dans le blanchiment des produits de) l’activité de ransomware », ont déclaré les responsables du DOJ dans un communiqué de presse jeudi.

Les procureurs fédéraux allèguent qu’Antropenko a utilisé le ransomware Zeppelin entre 2019 et 2022 pour cibler des victimes à travers le monde, y compris des particuliers, des hôpitaux, des entreprises et des fournisseurs de services informatiques aux États-Unis.

Plus précisément, lui et ses associés ont crypté les données des victimes, volé des fichiers sensibles, puis exigé des paiements en cryptomonnaie de la part des victimes pour retrouver l’accès à leurs données, empêcher leur publication ou les faire supprimer définitivement.

Après avoir collecté les paiements de rançon, Antropenko aurait tenté de couvrir ses traces en blanchissant les fonds par plusieurs canaux, y compris le service de mélange de cryptomonnaie désormais disparu ChipMixer, qui a été fermé lors d’une opération internationale coordonnée en 2023. Les procureurs affirment qu’il a également converti de la cryptomonnaie en espèces et effectué des dépôts en espèces structurés — en divisant de grosses sommes en plus petites pour éviter le contrôle des autorités bancaires.

Les agents fédéraux ont reconstitué la piste de l’argent en utilisant l’analyse de la blockchain, identifiant finalement des portefeuilles de cryptomonnaie contenant de l’Ethereum (ETH), du USD Tether (USDT) et du USD Coin liés à Antropenko. Ils ont lié des comptes Binance au nom d’Antropenko au schéma de blanchiment.

Les bureaux du FBI de Dallas et de Norfolk et l’unité des actifs virtuels enquêtent sur l’activité de ransomware d’Antropenko. Depuis 2020, la section des crimes informatiques et de la propriété intellectuelle du ministère de la Justice (CCIPS) a déclaré avoir sécurisé plus de 180 cybercriminels et obtenu des ordonnances judiciaires pour le retour de plus de 350 millions de dollars en fonds de victimes.

Selon les responsables, les actifs récupérés auprès d’Antropenko seront ajoutés à la réserve d’actifs numériques du gouvernement, un système lancé par décret exécutif en mars 2025. La réserve est conçue pour gérer la cryptomonnaie collectée par le biais de la confiscation criminelle, offrant aux autorités fédérales un moyen structuré de suivre et de gérer correctement les actifs numériques liés à la criminalité pendant que les affaires avancent dans les tribunaux.

« CCIPS et ses partenaires ont également perturbé plusieurs groupes de ransomware, empêchant les victimes de devoir payer plus de 200 millions de dollars en paiements de rançon », a ajouté le DOJ.

À propos du ransomware Zeppelin

Le ransomware Zeppelin est apparu pour la première fois à la fin de 2019 en tant que Ransomware-as-a-Service (RaaS) dérivé de la famille de ransomware VegaLocker/Buran, avec un accent particulier sur les entreprises de santé et de technologie de l’information. Bien que le groupe ait refait surface avec de nouvelles versions en 2021, ses opérations ont été arrêtées d’ici novembre 2022.

Des chercheurs en sécurité ont ensuite révélé qu’ils avaient obtenu l’accès à une clé de déchiffrement maître dès 2020, ce qui a discrètement aidé de nombreuses victimes à récupérer leurs données gratuitement. En janvier 2024, le code source du ransomware aurait été vendu sur un forum de piratage pour seulement 500 dollars, signifiant son déclin et sa marchandisation.