Les autorités américaines et bulgares ont pris cette semaine le contrôle du site Web sombre utilisé par le groupe de cybercriminalité ransomware NetWalker pour publier des données volées à ses victimes.
«Nous ripostons contre la menace croissante des ransomwares non seulement en engageant des poursuites pénales contre les acteurs responsables, mais également en perturbant l’infrastructure criminelle en ligne et, dans la mesure du possible, en récupérant les rançons extorquées aux victimes». m’a dit Le procureur général adjoint par intérim Nicholas L. McQuaid de la division criminelle du ministère de la Justice.
« Les victimes de ransomwares doivent savoir que se présenter aux forces de l’ordre le plus tôt possible après une attaque peut conduire à des résultats significatifs comme ceux obtenus dans l’opération à multiples facettes d’aujourd’hui. »
Dans le cadre du retrait, un ressortissant canadien nommé Sébastien Vachon-Desjardins de la ville de Gatineau a été accusé dans l’État américain de Floride d’avoir extorqué 27,6 millions de dollars en crypto-monnaie à partir de paiements de rançon.
Par ailleurs, le Service national d’enquête bulgare et la Direction générale de la lutte contre la criminalité organisée ont saisi une ressource cachée du Web sombre utilisée par les affiliés du rançongiciel NetWalker – à savoir, les groupes de cybercriminalité chargés d’identifier et d’attaquer des victimes de grande valeur à l’aide du ransomware – pour fournir des instructions de paiement et communiquer avec les victimes .
Les visiteurs du site Web seront désormais accueillis par une bannière de saisie les informant de sa prise en charge par les forces de l’ordre.
La chainalyse, qui a aidé à l’enquête, m’a dit il a « retracé plus de 46 millions de dollars de rançons NetWalker depuis son arrivée sur les lieux en août 2019 », ajoutant « qu’il s’est accéléré à la mi-2020, portant la rançon moyenne à 65 000 dollars l’année dernière, contre 18 800 dollars en 2019. «
Au cours des derniers mois, Netwalker est devenu un choix populaire de souche de ransomware en plus de Ryuk, Maze, Doppelpaymer et Sodinokibi, avec de nombreuses entreprises, municipalités, hôpitaux, écoles et universités ciblés par les cybercriminels pour extorquer les victimes.
Avant le retrait, l’administrateur NetWalker, surnommé « Bugatti » sur les forums darknet, aurait publié une annonce en mai 2020 à la recherche d’affiliés russophones supplémentaires dans le cadre d’une transition vers un ransomware-as-a- modèle de service (RaaS), utilisant les partenaires pour compromettre les cibles et voler des données avant de chiffrer les fichiers.
Les opérateurs NetWalker ont également fait partie d’une tendance croissante des ransomwares appelée double extorsion, où les attaquants tiennent les données volées en otage et menacent de publier les informations si la cible refuse de payer la rançon.
« Une fois qu’une victime a payé, les développeurs et les affiliés ont partagé la rançon », a déclaré le ministère américain de la Justice (DoJ).
Les chercheurs de Chainalysis soupçonnent qu’en plus d’avoir participé à au moins 91 attaques utilisant NetWalker depuis avril 2020, Vachon-Desjardins a travaillé en tant qu’affilié pour d’autres opérateurs RaaS tels que Sodinokibi, Suncrypt et Ragnarlocker.
L’interruption de NetWalker survient le jour même où les autorités européennes ont annoncé un retrait coordonné ciblant le réseau Emotet crimeware-as-a-service. Le botnet a été utilisé par plusieurs groupes de cybercriminalité pour déployer des logiciels malveillants de deuxième étape, notamment Ryuk et TrickBot.