Un véritable cybercrime : l’histoire de l’affilié (2e partie) / Cyber True Crime: The Affiliate Part 2
2 mars 2022
Bienvenue à cette série de billets de blogue intitulée Un véritable cybercrime : l’affilié. La première partie a fourni une introduction au monde des rançongiciels, au fonctionnement des rançongiciels-services ou RaaS, et comment le groupe organisé NetWalker s’insère dans cette histoire. Dans ce deuxième épisode, nous démêlons comment on devient membre de NetWalker et le type d’activités malveillantes utilisées par ce groupe organisé qui utilise les rançongiciels.
Si vous n’avez pas déjà lu la première partie de cette série, vous pouvez le faire ici.
Selon des données fournies par le FBI, NetWalker a ciblé plus de 100 organisations, y compris des services d’urgence, les forces de l’ordre, des districts scolaires et des établissements d’enseignement. Le groupe aurait empoché des dizaines de millions de dollars en paiements de rançongiciels.
Dans les coulisses
Alors, comment s’y prennent-ils? Selon un document rendu public par le FBI, les organisations apprennent qu’elles ont été la cible d’une attaque au rançongiciel de NetWalker et que leurs données ont été cryptées par une note de rançon qui apparaît sur un ou plusieurs ordinateurs de leur réseau. La note originelle en anglais a été partiellement publiée par les enquêteurs du FBI et se lit comme suit une fois traduite :
Bonjour! Vos fichiers sont cryptés par NetWalker... si, pour une raison quelconque, vous lisez ce texte avant la fin du cryptage, cela peut être compris par le fait que l’ordinateur ralentit et que votre fréquence cardiaque a augmenté en raison de votre incapacité à l’éteindre, nous vous recommandons de vous éloigner de l’ordinateur et d’accepter que votre réseau a été compromis. Le redémarrage ou l’arrêt de l’ordinateur vous fera perdre des fichiers sans possibilité de récupération... Nos algorithmes de cryptage sont très robustes et vos fichiers sont très bien protégés; la seule façon de récupérer vos fichiers est de coopérer avec nous et d’obtenir le programme de déchiffrement. N’essayez pas de récupérer vos fichiers sans un programme de déchiffrement; vous pouvez les endommager et alors ils seront impossibles à récupérer. Pour nous, c’est simplement une question d’affaires.
Comme nous pouvons le voir dans la partie de la note de rançon à laquelle nous avons accès, NetWalker utilise l’ingénierie sociale pour induire la peur et la panique chez les destinataires de leurs attaques calculées. Ils utilisent un langage qui favoriserait des sentiments de peur, de défaite et de désespoir, et se vantent de la force présumée de leur attaque au rançongiciel pour contraindre les organisations à payer la rançon.
Bien qu’elles ne figurent pas dans la partie publiée de la note de rançon, les organisations ciblées reçoivent également « un code unique pour l’URL d’un site Web hébergé sur le Web clandestin ». Les enquêteurs du FBI ont constaté que l’URL mène au panneau Tor de NetWalker. Un panneau ou un navigateur Tor est utilisé pour protéger l’identité des personnes qui y accèdent. Ils sont particulièrement utiles aux cybercriminels, car les fournisseurs de services Internet ou les personnes qui tentent de suivre leurs activités sur Internet ne pourront pas le faire. En effet, ils ne verront la connexion que comme provenant du panneau Tor et non de l’adresse Internet (IP) réelle de l’utilisateur, rendant l’identité de ce dernier invisible aux autorités et aux fournisseurs de services.
Grâce à son enquête, le FBI a constaté qu’une fois le code unique entré, l’organisation ciblée verra le montant de la rançon demandée en Bitcoin et les instructions pour la payer. Bien que cela ne soit pas mentionné dans le bref extrait auquel nous avons accès, les cibles du rançongiciel de NetWalker qui suivent les instructions du groupe criminel sont invitées à communiquer avec un affilié via la fonction de chat du navigateur Tor de NetWalker, probablement afin de conclure la transaction.
Si l’organisation ciblée paie la rançon en Bitcoin, la rançon est divisée entre les développeurs et les affiliés à la suite d’un accord préétabli entre les deux parties. Étant donné que tout cela se fait via le navigateur Tor de NetWalker, l’anonymat des membres de l’organisation est maintenu, ce qui rend difficile le traçage de la transaction jusqu’à ceux qui ont reçu le paiement.
Selon l’enquête du FBI, l’identification des membres de NetWalker est encore plus difficile, car ils ne sont pas identifiés par leur nom, mais par un numéro d’identification utilisateur. À la suite de cette enquête, et comme nous l’expliquerons plus en détail dans les prochains billets de blogue, M. Vachon a été accusé de participation en tant qu’affilié au groupe criminel NetWalker sous l’identifiant 128 sur le navigateur Tor de NetWalker.
Une carrière dans la cybercriminalité
Mais comment peut-on s’impliquer auprès d’une organisation criminelle comme NetWalker? Eh bien, tout comme la plupart des emplois publics et ouvertement acceptés, il existe un processus de candidature. Dans le cadre de leur enquête, les responsables du FBI ont trouvé une annonce d’emploi publiée sur un forum criminel pour NetWalker qui indiquait que les candidats devaient « identifier leur domaine d’expertise technologique, leur expérience, et les autres variantes de rançongiciel avec lesquels ils avaient travaillé ».
On ne sait pas exactement en quoi consistent l’expérience et l’expertise demandées pour décrocher un emploi comme celui-ci; mais, puisque les affiliés n’ont pas besoin d’une tonne de savoir-faire technologiques pour cibler et orchestrer avec succès une attaque au rançongiciel, nous pouvons dire avec certitude que la plupart auraient été au moins interviewés, si c’est le processus qu’ils ont suivi. Le FBI n’a indiqué dans aucun document accessible au public si le processus d’embauche exact est connu.
Maintenant que nous avons une idée générale du fonctionnement de NetWalker, nous passerons en revue dans notre prochain billet de blogue la façon dont l’affilié a fait des recherches et tenté de cacher son activité criminelle présumée aux autorités via des serveurs internationaux.
Plus vous en savez
Comprendre ce qui motive les criminels, qui ils sont et comment ils travaillent est essentiel pour assurer la résilience des organisations. S’informer contribue à rendre la cybersécurité plus tangible pour les gens ordinaires et permet aux individus et aux organisations d’élaborer des plans pour mieux se protéger contre les cybermenaces. Partagez cette série pour aider plus de gens à comprendre la criminalité au 21e siècle et apprendre comment se protéger.
Cyber True Crime: The Affiliate Part 2
Welcome back to the cyber true crime blog series The Affiliate. Part 1 provided an introduction to ransomware, how RaaS works and where the ransomware gang we’ll be focusing on, NetWalker, fits into the narrative. In this second installment, we unravel how one becomes a member of NetWalker and the sort of malicious activities that the ransomware gang participated in.
If you missed Part 1 of the series, you can read it here.
Based on data provided by the FBI, NetWalker has targeted more than 100 organizations, including emergency services, law enforcement, school districts and educational institutions. They have reportedly made over tens of millions of dollars in ransomware payments.
Behind the Scenes
So how do they do it? According to an unsealed FBI document, organizations learn that they have been the target of a NetWalker ransomware attack and that their data has been encrypted by a ransom note that appears on one or more computers on their network. The note has been partially released by FBI investigators and reads:
Hi! Your files are encrypted by NetWalker … if for some reason you read this text before the encryption ended, this can be understood by the fact that the computer slows down, and your heart rate has increased due to the inability to turn it off, then we recommend that you move away from the computer and accept that you have been compromised. Rebooting/shutdown will cause you to lose files without the possibility of recovery … Our encryption algorithms are very strong and your files are very well protected, the only way to get your files back is to cooperate with us and get the decrypter program. Do not try to recover your files without a decrypter program, you may damage them and then they will be impossible to recover. For us this is just business.
As we can see in the portion of the ransom note we have access to, NetWalker uses social engineering to induce fear and panic in the recipients of their calculated attacks. They use language that would promote feelings of fear, defeat and hopelessness, and brag about the alleged strength of their ransomware to coerce organizations into paying the ransom.
Though not included in the released portion of the ransom note, targeted organizations also receive “a unique code for the URL to a website hosted on the dark web.” FBI investigators found that the URL leads to the NetWalker Tor Panel. A Tor Panel or Browser is used to protect the identity of the people accessing it. They are particularly useful to cybercriminals as internet service providers or people trying to track your internet activity won’t be able to. This is because they will only see the connection as coming from the Tor Panel and not the actual Internet (IP) address – making the user’s identity invisible to authorities and service providers.
Through their investigation, the FBI found that once the unique code is entered, the targeted organization will see the ransom amount demanded in Bitcoin and instructions for paying it. Although not mentioned in the brief snippet we have access to, targets of NetWalker ransomware who follow the gang’s instructions are prompted to communicate with an affiliate via the NetWalker Tor Panel chat function, most likely to complete the transaction.
If the targeted organization pays the ransom in Bitcoin, the ransom is split between the developers and affiliates following a preestablished agreement between the two. Since this is all done via the NetWalker Tor Panel, the anonymity of the members in the organization is maintained and makes tracing the transaction back to those who received payment difficult.
Identifying NetWalker members is made even more challenging since they are not identified by name, but by a “User ID” number, according to the FBI investigation. As a result of their investigation, and as we will explain more fully in future blogs, Vachon was charged with participating as an affiliate with the NetWalker Ransomware gang is know as User ID 128 on the NetWalker Tor Panel.
A Career in Cyber Crime
But how does one become involved with a criminal organization like NetWalker? Well, much like most public and openly accepted jobs, there is an application process. As part of their investigation, FBI officials found a job advertisement posted on a criminal forum for NetWalker which indicated that candidates should “identify their area of technological expertise, experience, and other ransomware variants with which they had worked.”
Now, it’s unclear just how much experience and expertise are required to land a job like this; but, since affiliates don’t need a ton of technological know-how to successfully target and orchestrate a ransomware attack, it’s safe to say that most would have been at least interviewed - if this is the process they followed - the FBI didn’t indicate in any publicly accessible documents if the exact hiring process is known.
Now that we have a general idea of how NetWalker works, in our next blog we’ll go over how the Affiliate went about researching and attempting to hide his alleged criminal activity from authorities through international servers.
The More You Know
Understanding what motivates criminals, who they are and how they work is a vital part of building a more resilient organization. It helps make cybersecurity more real for everyday people and helps individuals and organizations develop plans to better protect themselves from cyber threats. Please consider sharing this series to help more people understand 21st-century crime and how to protect themselves.