Actualités

Le DOJ inculpe un suspect dans les attaques de ransomware NetWalker

Par Gabriel, le 30 janvier 2021 — 4 minutes de lecture
Le DOJ inculpe un suspect dans les attaques de ransomware NetWalker

Un effort coordonné d’application de la loi a stoppé NetWalker dans son élan.

Le département américain de la Justice (DOJ) a annoncé mercredi que le fameux ransomware avait été interrompu, grâce à une opération internationale avec le Service national d’enquête et la Direction générale de la lutte contre le crime organisé de Bulgarie. Les affiliés de NetWalker, qui a été découvert en septembre 2019, utilisent des techniques de phishing et ont fait pression sur les victimes pour qu’elles paient des rançons en menaçant de divulguer des données vers un site public de «honte».

Selon l’annonce du MJ, la perturbation comprend des accusations contre un ressortissant canadien, Sébastien Vachon-Desjardins de Gatineau, qui aurait obtenu plus de 27,6 millions de dollars d’attaques de ransomwares et de cybercrimes connexes; la saisie d’un service caché du dark web utilisé par les affiliés pour communiquer le paiement aux victimes; et près de 500 000 $ en crypto-monnaie, comprenant des paiements de rançon effectués lors de trois attaques de ransomware NetWalker distinctes. L’annonce a également détaillé le fonctionnement de ces attaques.

Selon l’affidavit, une fois que le réseau informatique d’une victime est compromis et que les données sont cryptées, les acteurs qui déploient NetWalker remettent un fichier ou une note de rançon à la victime. En utilisant Tor, un réseau informatique conçu pour faciliter les communications anonymes sur Internet, le La victime reçoit alors le montant de la rançon demandée et les instructions de paiement », indique le DOJ.

Le DOJ a déclaré que les autorités bulgares avaient saisi cette semaine le service caché de NetWalker, mais on ne sait pas si d’autres infrastructures ou opérations ont été affectées.

DOJ NetWalker
Les autorités bulgares ont saisi le site Web sombre que les acteurs de la menace NetWalker utilisaient pour communiquer avec les victimes du ransomware.

«Nous ripostons contre la menace croissante des ransomwares non seulement en intentant des poursuites pénales contre les acteurs responsables, mais également en perturbant l’infrastructure criminelle en ligne et, dans la mesure du possible, en récupérant les paiements de rançon extorqués aux victimes», a déclaré Nicholas McQuaid, procureur général adjoint par intérim de la division criminelle du ministère de la Justice, dans l’annonce. « Les victimes de ransomwares doivent savoir que se présenter aux forces de l’ordre le plus tôt possible après une attaque peut conduire à des résultats significatifs comme ceux obtenus dans l’opération à multiples facettes d’aujourd’hui. »

Une fois déployé, NetWalker permet aux acteurs d’obtenir un accès non autorisé au réseau informatique d’une victime des jours ou des semaines avant de demander la rançon. Cela donne du temps pour la reconnaissance, comme l’élévation des privilèges au sein du réseau tout en propageant le ransomware d’un poste de travail à l’autre. Les acteurs de la menace derrière la variante avancée du ransomware l’ont déployée contre les municipalités, le secteur de l’éducation, les forces de l’ordre et les hôpitaux.

Le DOJ a déclaré que les affiliés de NetWalker avaient spécifiquement ciblé les organisations de soins de santé pendant la pandémie de COVID-19.

Par exemple, en mars, une attaque contre le district de santé publique de Champaign-Urbana a été attribuée à NetWalker. En conséquence, le site Web de l’organisation, utilisé pour fournir des mises à jour et des informations sur les efforts de réponse aux coronavirus, a été mis hors ligne. Le district a déplacé des mises à jour sur sa page Facebook, où ils ont finalement annoncé que son site Web était de sauvegarde, bien que d’autres détails n’aient pas été fournis sur l’attaque ou la récupération.

En mai, Bleeping Computer a rapporté que les affiliés de NetWalker chiffraient les fichiers à la Michigan State University et menaçaient de divulguer les données s’ils ne respectaient pas le délai de rançon d’une semaine. Les opérateurs sont allés plus loin en publiant cinq images, prises à l’université, sur son site public de fuite. MSU a publié une déclaration le 3 juin, selon laquelle elle refusait de payer.

L’interruption de NetWalker a été annoncée le même jour que le retrait du tristement célèbre botnet Emotet. Emotet, un cheval de Troie bancaire découvert pour la première fois en 2014 et qui a ensuite évolué pour devenir un botnet prolifique, a toujours été reconnu par les fournisseurs de sécurité et les chercheurs sur les menaces comme l’une des principales menaces de logiciels malveillants.

Gabriel

Gabriel

La tech va chaque jour plus vite et il peut-être difficile de suivre cette thématique. Grâce à mes articles, j'espère vous faire ressortir les sujets importants et intéressants afin de ne rien louper cette actualité toujours en pleine agitation.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.