Le DOJ élargit l'enquête sur le délit d'initié BlackCat avec une deuxième arrestation chez DigitalMint
Le ministère américain de la Justice a déposé des accusations criminelles le 12 mars 2026 contre un deuxième ancien employé de DigitalMint pour avoir participé à un stratagème sophistiqué impliquant l'opération de ransomware BlackCat, également connue sous le nom d'ALPHV. Cela marque l'expansion d'une enquête fédérale qui a émergé plus tôt cette année lorsque les autorités ont découvert des preuves de la collaboration secrète d'employés d'échanges de cryptomonnaies avec des négociateurs de ransomware.
Les documents d'accusation révèlent que d'anciens employés de DigitalMint ont travaillé directement avec les opérateurs de BlackCat pour faciliter les paiements de rançon tout en fournissant simultanément des informations internes sur les protocoles de sécurité de l'échange de cryptomonnaies et les systèmes de surveillance des transactions. Ce double rôle a permis au groupe de ransomware d'optimiser leurs méthodes de collecte de paiements tout en évitant les mécanismes de détection généralement employés par les institutions financières pour identifier les transactions de cryptomonnaies suspectes.
BlackCat, qui est devenu l'une des opérations de ransomware-as-a-service les plus prolifiques ces dernières années, a été responsable d'attaques contre des centaines d'organisations dans le monde entier. L'approche sophistiquée du groupe inclut le recrutement d'initiés dans les institutions financières et les échanges de cryptomonnaies pour rationaliser leurs processus de collecte de paiements. Les enquêteurs fédéraux ont découvert que les employés de DigitalMint ont fourni des renseignements critiques sur les limites de transaction, les seuils de déclaration et les procédures de conformité internes qui ont aidé les opérateurs de BlackCat à structurer les demandes de rançon pour éviter de déclencher les systèmes de détection de fraude automatisés.
L'enquête a commencé lorsque des chercheurs en cybersécurité ont remarqué des schémas inhabituels dans les flux de paiements de rançon de BlackCat, avec un pourcentage inhabituellement élevé de transactions passant par DigitalMint par rapport à d'autres échanges de cryptomonnaies. Cette anomalie a incité les autorités fédérales à examiner les opérations internes de l'échange, découvrant finalement des communications entre les employés et des opérateurs de ransomware connus. Le catalogue des vulnérabilités exploitées connues de la CISA a suivi plusieurs campagnes de BlackCat qui ont exploité ces connexions internes pour maximiser leur efficacité opérationnelle.
L'industrie des échanges de cryptomonnaies face à l'examen des menaces internes
Les accusations contre les employés de DigitalMint soulignent une préoccupation croissante au sein de l'industrie des échanges de cryptomonnaies concernant les menaces internes facilitant les opérations de ransomware. DigitalMint, qui opère en tant que réseau de distributeurs automatiques de Bitcoin et service d'échange de cryptomonnaies dans plusieurs États américains, traite des millions de dollars en transactions de cryptomonnaies chaque mois. Les clients de l'entreprise, qui comptent sur la plateforme pour des achats et échanges de cryptomonnaies légitimes, ont été exposés à un service compromis où leurs données de transaction et leurs schémas d'échange étaient partagés avec des organisations criminelles.
L'écosystème plus large des échanges de cryptomonnaies fait maintenant face à un examen réglementaire accru alors que les autorités fédérales examinent si des arrangements internes similaires existent sur d'autres plateformes. Les analystes de l'industrie estiment que les groupes de ransomware ont collecté plus de 1,1 milliard de dollars en paiements en 2025, une partie importante passant par des échanges de cryptomonnaies compromis ou complices. Le cas de DigitalMint démontre comment les opérateurs de ransomware ont évolué au-delà des attaques purement techniques pour inclure la collecte de renseignements humains et le recrutement d'initiés comme composants centraux de leur modèle commercial.
Les institutions financières et les échanges de cryptomonnaies à travers les États-Unis mettent maintenant en œuvre des vérifications de fond améliorées pour les employés et des systèmes de surveillance pour détecter les menaces internes potentielles. Le cas a incité le Financial Crimes Enforcement Network à émettre de nouvelles directives exigeant que les échanges de cryptomonnaies signalent les activités suspectes des employés et mettent en œuvre des contrôles plus stricts sur l'accès des employés aux données de transaction des clients et aux systèmes de conformité.
Réponse fédérale et mesures de sécurité de l'industrie
La stratégie de poursuite du ministère de la Justice se concentre sur le démantèlement de l'infrastructure financière qui permet aux opérations de ransomware de collecter et de blanchir les paiements. Les procureurs fédéraux poursuivent des accusations en vertu de la loi sur la fraude informatique et les abus, des lois sur le blanchiment d'argent et des lois sur la conspiration qui prévoient des peines potentielles allant jusqu'à 20 ans de prison fédérale. L'enquête implique plusieurs agences fédérales, y compris la division cyber du FBI, le Secret Service et le Bureau de contrôle des avoirs étrangers du département du Trésor.
Les échanges de cryptomonnaies sont maintenant tenus de mettre en œuvre des programmes complets de détection des menaces internes qui surveillent l'accès des employés aux systèmes sensibles et aux données des clients. Ces programmes doivent inclure des examens polygraphiques réguliers pour les employés ayant accès aux systèmes de surveillance des transactions, le signalement obligatoire de tout contact avec des adresses de cryptomonnaies connues associées à des opérations de ransomware, et la surveillance en temps réel des communications des employés pour détecter des indicateurs de collaboration avec des organisations criminelles. L'enquête de CyberScoop a révélé des détails supplémentaires sur les méthodes sophistiquées utilisées par les opérateurs de BlackCat pour recruter et maintenir des relations avec des initiés d'échange.
Les experts en sécurité de l'industrie recommandent que les organisations mettent en œuvre des architectures de confiance zéro pour le traitement des transactions de cryptomonnaies, nécessitant plusieurs approbations pour les transactions de grande valeur et maintenant des journaux d'audit détaillés de toutes les activités des employés. Les entreprises devraient également établir des mécanismes de signalement anonymes pour que les employés signalent les activités suspectes de leurs collègues et mettre en œuvre une formation régulière à la sensibilisation à la sécurité axée sur les tactiques d'ingénierie sociale utilisées par les groupes de ransomware pour recruter des initiés. L'enquête fédérale se poursuit avec les autorités examinant les enregistrements de transactions de plusieurs échanges de cryptomonnaies pour identifier d'autres collaborations potentielles d'initiés avec des opérations de ransomware.
