Les autorités américaines et bulgares ont saisi cette semaine le site darkweb utilisé par le NetWalker groupe de cybercriminalité ransomware pour publier les données volées à ses victimes. Dans le cadre de la saisie, un ressortissant canadien soupçonné d’avoir extorqué plus de 27 millions de dollars par la diffusion de NetWalker a été inculpé par un tribunal de Floride.
Le site d’humiliation des victimes maintenu par le groupe de rançongiciels NetWalker, après avoir été saisi par les autorités cette semaine.
NetWalker est un ransomware-as-a-service crimeware dans lequel les affiliés louent l’accès au code malveillant mis à jour en permanence en échange d’un pourcentage des fonds extorqués aux victimes. Les escrocs à l’origine de NetWalker ont utilisé le site Web désormais saisi pour publier des données personnelles et exclusives volées à leur proie, dans le cadre d’une campagne de pression publique visant à convaincre les victimes de payer.
NetWalker fait partie des souches de rançongiciels les plus rapaces, faisant au moins 305 victimes dans 27 pays – la majorité aux États-Unis, selon Chainalysis, une société qui suit les flux de paiements en monnaie virtuelle.
« Chainalysis a retracé plus de 46 millions de dollars de fonds en rançons NetWalker depuis sa première apparition en août 2019 », a déclaré la société dans un article de blog détaillant son aide à l’enquête. « Il a pris de l’ampleur à la mi-2020, faisant passer la rançon moyenne à 65 000 dollars l’an dernier, contre 18 800 dollars en 2019. »
Image : analyse en chaîne
Dans une déclaration Lors de la saisie, le ministère de la Justice a déclaré que le rançongiciel NetWalker avait touché de nombreuses victimes, notamment des entreprises, des municipalités, des hôpitaux, des forces de l’ordre, des services d’urgence, des districts scolaires, des collèges et des universités. Par exemple, l’Université de Californie à San Francisco payé 1,14 million de dollars l’été dernier en échange d’une clé numérique nécessaire pour déverrouiller les fichiers cryptés par le ransomware.
« Les attaques ont spécifiquement ciblé le secteur de la santé pendant la pandémie de COVID-19, profitant de la crise mondiale pour extorquer les victimes », a déclaré le DOJ.
Les procureurs américains affirment que l’un des principaux affiliés de NetWalker était Sébastien Vachon-Desjardins, de Gatineau, à Ottawa, Canada. Un acte d’accusation descellé aujourd’hui en Floride allègue que Vachon-Desjardins a obtenu au moins 27,6 millions de dollars de ce stratagème.
L’avis aux médias du DOJ ne mentionne pas l’âge de l’accusé, mais un rapport de 2015 dans le site Web de nouvelles locales de Gatineau, ledroit.com, suggère que ce n’est peut-être pas sa première infraction. Selon l’histoire, Sébastien Vachon-Desjardins, alors âgé de 27 ans, a été condamné à plus de trois ans de prison pour trafic de drogue : il aurait été trouvé en possession de plus de 50 000 comprimés de méthamphétamine.
L’action NetWalker est intervenue le même jour que les autorités européennes ont annoncé un retrait coordonné ciblant le réseau Emotet crimeware-as-a-service. Emotet est un botnet payant par installation qui est utilisé par plusieurs groupes de cybercriminels distincts pour déployer des logiciels malveillants secondaires, notamment la souche de ransomware Ryuk et Trickbot, un puissant cheval de Troie bancaire.
Le programme d’affiliation NetWalker ransomware a été lancé en mars 2020, lorsque l’administrateur du projet de logiciel criminel a commencé à recruter des personnes sur le dark web. Comme de nombreux autres programmes de rançongiciels, NetWalker n’autorise pas les affiliés à infecter des systèmes situés physiquement en Russie ou dans tout autre pays faisant partie du Communauté des États indépendants (CEI) – qui comprend la plupart des nations de l’ex-Union soviétique. Il s’agit d’une interdiction généralement imposée par les opérations de cybercriminalité coordonnées depuis la Russie et/ou d’autres pays de la CEI, car elle permet de minimiser les chances que les autorités locales enquêtent sur leurs crimes.
L’annonce suivante (traduite en anglais par la société de cybersécurité Intel 471) a été posté par le responsable du programme d’affiliation de NetWalker l’année dernière sur un forum de haut niveau sur la cybercriminalité. Il illustre l’attrait du modèle d’affiliation ransomware, qui gère tout, de la mise à jour du malware pour passer outre les dernières mises à jour antivirus, à la location d’espace sur le dark web où les affiliés peuvent interagir avec les victimes et négocier le paiement. L’affilié, d’autre part, n’a qu’à se concentrer sur la recherche de nouvelles victimes.
Nous recrutons des affiliés pour le traitement du réseau et le spam.
Nous nous intéressons aux personnes dont la priorité est la qualité et non la quantité.
Nous préférons les candidats qui peuvent travailler avec de grands réseaux et y avoir leur propre accès.
Nous allons recruter un nombre limité d’affiliés puis fermer les ouvertures jusqu’à ce qu’ils soient à nouveau disponibles.Nous vous proposons un rançongiciel rapide et flexible, un panneau d’administration convivial dans Tor, un service automatisé.
Cryptage des accès partagés : si plusieurs utilisateurs sont connectés à l’ordinateur cible, le ransomware infectera leurs lecteurs mappés, ainsi que les ressources réseau où ces utilisateurs sont connectés – accès partagés/NAS, etc.
Construction Powershell. Chaque version est unique, en ce sens que le malware se trouve à l’intérieur du script – il n’est pas téléchargé depuis Internet. Cela facilite le contournement de la protection antivirus, y compris Windows Defender (cloud+).
Un blog entièrement automatisé où les données déversées de la victime sont dirigées. Les données sont publiées en fonction de vos paramètres. Paiements instantanés et automatisés : initialement 20 %, pas moins de 16 %.
Accessibilité d’un service de cryptage pour éviter les détections AV.
Le ransomware est utilisé depuis septembre 2019 et s’est avéré fiable. Les fichiers chiffrés avec lui ne peuvent pas être déchiffrés.
Il est interdit de cibler la Russie ou la CEI.
Vous obtiendrez toutes les informations sur le ransomware ainsi que les termes et conditions après avoir placé une application via PM.
Formulaire de candidature :
1) Le domaine dans lequel vous êtes spécialisé.
2) Votre expérience. À quels autres programmes d’affiliation avez-vous participé et quel a été votre bénéfice ?
3) Combien d’accès [to networks] avez-vous? Quand êtes-vous prêt à commencer ? Combien d’accès comptez-vous monétiser ?