Environ 74 % des revenus perçus par les groupes de rançongiciels en 2021 – soit plus de 400 millions de dollars de cryptomonnaies – « sont très susceptibles d'être affiliés à la Russie d'une manière ou d'une autre », explique le spécialiste Chainalasys de l’analyse forensique des flux illicites de cryptomonnaies. 

Si 27 % des revenus tirés des rançongiciels ne comportent « aucune indication » de connexion à la Russie, 36,4 % comportent une ou plusieurs caractéristiques (langue, lieu d'affiliation, etc.) indiquant que ses affiliés sont « probablement censés être situés en Russie avec un degré élevé de confiance ».

26,4 % comportent des indicateurs montrant qu'ils évitent de contaminer les systèmes d'exploitation affiliés à la Communauté des États indépendants (CEI), une organisation intergouvernementale de pays russophones de l'ex-Union soviétique. 9,9 % sont liés à Evil Corp, une organisation cybercriminelle basée en Russie « et dont la direction aurait des liens avec le gouvernement russe ». 

L'analyse de la blockchain combinée aux données de trafic Web indique également qu'après les attaques de rançongiciels, « la plupart des fonds extorqués sont blanchis par le biais de services destinés principalement aux utilisateurs russes ».

« On estime que 13 % des fonds envoyés à partir d'adresses de rançongiciels vers des services sont allés à des utilisateurs estimés être en Russie, plus que toute autre région. » 

De plus, et sur une période de trois ans, les entreprises moscovites de cryptomonnaies basées à Moscou ont reçu près de 700 millions de dollars de cryptomonnaies provenant d'adresses illicites, « ce qui représente 13 % de toute la valeur reçue pendant cette période ».