Un affilié du groupe cybercriminel Netwalker condamné à six ans et huit mois de prison

Arrêté en janvier 2021 et accusé d’avoir mené des attaques informatiques avec le rançongiciel, un citoyen canadien a plaidé coupable, le 1er février, devant la justice de la province d’Ontario.

Par Florian Reynaud

Publié le 08 février 2022 à 14h03, modifié le 08 février 2022 

Emotet, Trickbot, Maze, Ryuk et maintenant Netwalker, le cybercrime s’est développé de manière exponentielle au cours de l’année passée. Les ransomwares ont touché des entreprises de toutes tailles et de tous les secteurs, privées comme publiques, et leur activité ne semble pas ralentir.

Rien qu’en 2019, les attaquants auraient extorqué 11,5 milliards de dollars à leurs victimes, contre 8 milliards en 2018. Les experts estiment que le coût des attaques de ransomwares augmentera de presque 100 % en 2021 pour atteindre 20 milliards de dollars. Netwalker (aussi appelé Mailto) a généré plus de 30 millions de dollars de rançons depuis sa première attaque d’envergure en mars.

Qu’est-ce que le ransomware Netwalker ?

Le ransomware Netwalker a été créé par le groupe cybercriminel Circus Spider en 2019 et connaît une croissance rapide. Le groupe Circus Spider est lui-même un des nouveaux membres du réseau Mummy Spider. En surface, Netwalker se comporte comme la plupart des autres ransomwares : il infecte les systèmes par le biais d’e-mails de phishing, avant d’exfiltrer et de chiffrer des données sensibles, puis de demander une rançon importante.

Malheureusement, Netwalker ne se contente pas de prendre les données de ses victimes en otage. Pour prouver son sérieux, le groupe Circus Spider n’hésite pas à faire fuiter des échantillons des données volées en affirmant que si la victime ne répond pas à ses exigences dans les temps, il diffusera le reste sur le dark web. Le groupe a par exemple dévoilé les données sensibles d’une de ses victimes sur le réseau interlope en les plaçant dans un dossier protégé dont le mot de passe a été publié en ligne.

Un citoyen canadien a été condamné, le 1^er février, à une peine de six ans et huit mois d’emprisonnement pour avoir mené des attaques informatiques contre des entreprises et collectivités locales en complicité avec le groupe cybercriminel Netwalker, selon un document judiciaire récemment publié.

Netwalker est le nom d’un réseau opérant un rançongiciel du même nom utilisé pour paralyser le réseau informatique d’entreprises et d’administrations, en chiffrant toutes les données présentées sur les ordinateurs ciblés. Les victimes se voient alors demander une rançon par les attaquants, qui menacent généralement de publier en ligne des données confidentielles volées au cours de l’opération. Des infrastructures de Netwalker ont fait l’objet, en janvier 2021, d’une opération policière internationale, au cours de laquelle les autorités bulgares ont saisi un serveur utilisé par le groupe.

L’homme condamné par la justice canadienne, Sébastien Vachon-Desjardins, était un affilié de Netwalker, c’est-à-dire qu’il n’a pas développé lui-même le logiciel mais l’utilisait pour mener des attaques, en infiltrant le système informatique de ses victimes. Il était accusé d’avoir rançonné dix-sept « entités canadiennes » et « d’autres à travers le monde », selon un tribunal canadien.

Lire aussi La justice américaine accuse un Canadien d’avoir propagé le rançongiciel Netwalker

Près de 720 bitcoins saisis

Arrêté en janvier 2021, après plusieurs mois d’enquête et sur la base d’informations communiquées par les autorités américaines, M. Vachon-Desjardins a, selon le document judiciaire, plaidé coupable et reconnu les faits qui lui étaient reprochés. Il a reconnu que près de 1 200 bitcoins avaient transité sur son porte-monnaie numérique, pour être répartis entre les différents membres de Netwalker. Près de 720 bitcoins (un peu plus de 20 millions d’euros à l’époque) ont été saisis au moment de son arrestation.

Le jugement de la justice canadienne éclaire, par ailleurs, le rôle que M. Vachon-Desjardins a joué en tant que complice de Netwalker. Il a notamment participé à l’amélioration du message de rançon utilisé par le groupe et ses affiliés pour menacer leurs victimes et « a convaincu le créateur de Netwalker » d’utiliser des « mixers », des outils servant à brouiller les transactions en cryptomonnaies pour compliquer le travail des enquêteurs judiciaires. Il est également soupçonné d’avoir formé d’autres potentiels cyberdélinquants et criminels :

« L’accusé excellait dans ce qu’il faisait. Entre dix et quinze individus non identifiés ont recruté l’accusé pour qu’il leur apprenne ses méthodes. Certaines de ces activités bénéficiaient à ceux qui étaient intéressés par la sécurisation des réseaux informatiques pour empêcher ces attaques. Certains des élèves de l’accusé étaient probablement d’autres cyberacteurs malveillants. »

Déjà condamné au Canada pour des affaires (non liées) de trafic de drogues, Sébastien Vachon-Desjardins a également été inculpé par la justice américaine, en décembre 2020, pour son implication dans les activités du groupe Netwalker.

Lire aussi : Article réservé à nos abonnés Ce que l’on sait sur les auteurs et gangs de rançongiciels

REF.: lemonde.fr

https://www.varonis.com/fr/blog/guide-sur-le-ransomware-netwalker-tout-ce-quil-vous-faut-savoir

Rançongiciel : Xpertdoc,l’Université de Californie,Sollio Groupe coopératif (ex-Coop fédérée),MTY(qui détient notamment les marques Mikes, Scores, Valentine et Thaï Express) par NetWalker

 Rançongiciel : Xpertdoc,l’Université de Californie,Sollio Groupe coopératif (ex-Coop fédérée),MTY(qui détient notamment les marques Mikes, Scores, Valentine et Thaï Express) par NetWalker

 

Des pirates ciblent une filiale de MTY

REF.: Hugo Joncas

Samedi, 21 novembre 2020 01:00 MISE À JOUR Samedi, 21 novembre 2020 01:00

Des cyberpirates ont attaqué la filiale américaine du géant de la restauration MTY le 17 novembre. L’entreprise montréalaise, qui détient notamment les marques Mikes, Scores, Valentine et Thaï Express, a tout de même évité le pire.

Le rançongiciel du gang NetWalker s’en est pris à Kahala Brands, le franchiseur américain que MTY a acquis en 2016.

« Ils ont essayé d’encrypter les données sur nos serveurs, mais ils n’ont pas réussi, dit le chef de la direction de MTY, Éric Lefebvre. Notre sécurité informatique a levé le flag assez vite. »

NetWalker vient également de s’attaquer à Sollio Groupe coopératif (ex-Coop fédérée) avec plus de succès, rapportait notre Bureau d’enquête le 17 novembre.

Tentative d’extorsion

Ces cyberpirates, reconnus pour leurs cibles d’envergure, se vantent sur le web caché (dark web) d’avoir copié des dizaines de dossiers issus des serveurs de Kahala. Ils menacent d’en divulguer le contenu le 1^er décembre s’ils ne sont pas payés.

Comme ils n’ont pas réussi à terminer le travail, MTY n’a cependant pu consulter aucune demande de rançon.

« S’il y en a une à payer, ça sera à la compagnie d’assurance de le faire, pas à MTY », précise Éric Lefebvre.

Fidèle à son habitude, NetWalker présente sur le dark web une liste d’éléments qu’il prétend avoir copiés, dont des dossiers « Legal », « Legal Tax Share », « LLC Payroll » et « HR », comme dans « human resources » (ressources humaines).

MTY, inscrite à la Bourse de Toronto, a embauché une firme spécialisée pour savoir ce que le gang a pu dérober au juste.

« La question, c’est : est-ce qu’ils ont quelque chose, ou rien ? » dit Éric Lefebvre.

Il précise que les données les plus sensibles de MTY ne sont pas hébergées sur le réseau de Kahala aux États-Unis, mais bien sur les serveurs de la maison-mère montréalaise.

Hyperactifs

NetWalker multiplie les victimes depuis l’an dernier.

Au Québec, en plus de Sollio, le gang a piégé Xpertdoc, qui a payé une rançon pour récupérer les données sur des policiers volées sur ses serveurs.

Ces cybercriminels ont aussi empoché 1,14 M$ US de l’Université de Californie à San Francisco, qui travaillait sur un vaccin contre la COVID-19, selon la BBC.

 

REF.: