Un véritable cybercrime : l’histoire de l’affilié / Cyber True Crime: The Affiliate
14 avril 2022
Un Canadien a été accusé par le FBI d’être l’un des cybercriminels parmi les plus prolifiques au monde, empochant des dizaines de millions de dollars en tant qu’agent d’une organisation criminelle internationale obscure connue sous le nom de NetWalker. Voici son histoire.
Dans cette série en 8 parties, nous explorerons cette véritable histoire de crime, dont les développements continuent alors qu’une épidémie mondiale de rançongiciels fait rage dans tous les pays. Nous couvrirons les cibles de NetWalker, qui vont des secteurs de la santé et de l’éducation à ceux des télécommunications et de la logistique du transport. Cette série nous mènera de la ville de Gatineau au Québec à des serveurs en Pologne et en Bulgarie, et impliquera l’expertise d’enquête du FBI et de la GRC. Dans cette première partie, nous passerons en revue le fonctionnement des rançongiciels, le modèle du rançongiciel-service, ainsi que la place de NetWalker dans tout cela.
Les cybercrimes commencent et se terminent avec les gens. Ils commencent par les motivations d’individus qui cherchent à s’enrichir indépendamment du mal, de la douleur et de la souffrance qu’ils causent. Ils tirent profit de la peur de leurs cibles et ont besoin que les individus agissent sans tenir pleinement compte de la situation. La plupart du temps, ils utilisent des tactiques de manipulation connues afin de contraindre les individus à donner des informations sensibles telles que des identifiants de connexion, des informations personnelles et d’autres données confidentielles afin de pirater le réseau d’une organisation et voler des informations.
Les vulnérabilités connues des systèmes sont également exploitées par ces individus pour leur permettre d’accéder et de se déplacer sur le réseau d’une organisation sans être détectés afin de voler et compromettre des données. Ces dernières années, les groupes organisés qui utilisent des rançongiciels sont devenus de plus en plus courants, à mesure que les rançongiciels se sont hissés au sommet des cybermenaces les plus communes. Les cybercriminels utilisent des rançongiciels pour crypter des fichiers qui ne peuvent être déchiffrés qu’à l’aide d’une clé de déchiffrement fournie par le groupe organisé en échange d’une rançon.
Les rançongiciels ont permis à ces groupes d’empocher des sommes considérables.
Commettre un crime en ligne nécessite toute une communauté.
En ce qui concerne les rançongiciels, il ne s’agit généralement pas d’une personne agissant seule, mais d’un groupe organisé de personnes agissant en tant que développeurs ou affiliés. Les développeurs créent le code des rançongiciels et les outils nécessaires pour crypter les données, tandis que les affiliés mettent en œuvre les attaques et assurent leur bon déroulement. Cette façon de mener une attaque au rançongiciel est connue sous le nom de « rançongiciel-service » ou RaaS, (pour ransomware-as-a-service), car les développeurs fournissent aux affiliés le service moyennant des frais.
Les développeurs peuvent vendre à des affiliés en dehors de leur organisation criminelle le code et les outils nécessaires pour mener l’attaque, ou ils peuvent le fournir à des affiliés au sein de leur propre organisation pour un prix fixe ainsi qu’une portion de la rançon lorsqu’elle est payée. Le modèle RaaS est populaire, car il profite à la fois aux développeurs et aux affiliés : les développeurs ont la garantie d’obtenir un revenu, et ce que l’organisation cible paie ou non la rançon, car les affiliés les paient à l’avance. De leur côté, les affiliés n’ont pas besoin d’être exceptionnellement technophiles, car ils ont simplement besoin de savoir comment utiliser le rançongiciel, et n’ont pas à savoir comment le créer ou le maintenir.
Selon des documents publiés par le FBI, NetWalker est identifié comme un RaaS depuis mars 2020. Comme d’autres modèles de RaaS, le groupe est composé de développeurs qui créent les rançongiciels et d’affiliés qui lancent les attaques contre les organisations et entreprises ciblées. Comme le mentionnait un document rendu public par le FBI, au sein de NetWalker, les affiliés sont également responsables de trouver des organisations cibles de « grande valeur » et de faire des recherches sur ces dernières afin de lancer des attaques qui utilisent des codes sources créés par les développeurs.
Les organisations sont ciblées soit en raison des données précieuses et confidentielles qu’elles possèdent, ce qui pourrait perturber la fonctionnalité de l’organisation, soit en raison des liens que les renseignements peuvent avoir avec d’autres organisations, personnes ou affiliations privées.
Une attaque à plusieurs volets
Comme la plupart des groupes organisés qui utilisent des rançongiciels, NetWalker agit non seulement en cryptant les données de leur cible, mais aussi en les dérobant avant de les publier en ligne. Selon l’enquête menée par le FBI, les données volées comprennent des données commerciales confidentielles, des informations d’identification personnelle, des dossiers médicaux et des dossiers scolaires. On pense généralement que ce n’est que si la cible ne paie pas la rançon que ses données seront publiées en ligne; cependant, ce n’est pas toujours le cas, et comme la plupart des organisations criminelles, NetWalker ne joue pas toujours selon les règles qu’ils ont eux-mêmes établies.
En mai 2020, le FBI est tombé sur le blogue de NetWalker qui aide le groupe organisé à publier des données volées aux organisations ciblées. Une fois publié sur le Web clandestin, le blogue de NetWalker est facilement accessible à tous les cybercriminels, car son accès n’est pas chiffré. Un document rendu public par le FBI relatant les données de surveillance sur le groupe révèle que dans leurs entrées, le blogue NetWalker nomme l’organisation ciblée, donne un résumé de leurs services et fournit un lien vers les données de l’organisation ou informe le moment où elles seront publiées. Des captures d’écran des informations confidentielles sont aussi publiées par le groupe pour prouver que la menace est sérieuse, une tactique effrayante également utilisée par d’autres organisations criminelles.
Demeurez à l’affût pour la partie 2 de cette série, dans laquelle nous raconterons l’histoire de Sébastien Vachon Desjardins et commencerons à démêler comment il a escroqué des organisations pour des millions de dollars grâce à son affiliation avec NetWalker.
Plus vous en savez
Comprendre ce qui motive les criminels, qui ils sont et comment ils travaillent est essentiel pour assurer la résilience des organisations. S’informer contribue à rendre la cybersécurité plus tangible pour les gens ordinaires et permet aux individus et aux organisations d’élaborer des plans pour mieux se protéger contre les cybermenaces. Partagez cette série pour aider plus de gens à comprendre la criminalité au 21e siècle et apprendre comment se protéger.
Cyber True Crime: The Affiliate
A Canadian man has been charged by the FBI of being one of the world’s top cybercriminals, making tens of millions of dollars as an agent of a shadowy international criminal organization known as NetWalker. This is his story.
In this 8-part series, we’ll explore this true crime story - which continues to unfold even as the global ransomware epidemic rages in countries around the world. We’ll cover the targets of NetWalker, which range from healthcare and education, to telecommunications and transportation logistics. This series will take us from the city of Gatineau, Quebec, to servers in Poland and Bulgaria and involves the investigative expertise of the FBI and RCMP. In this first instalment, we’ll go over how ransomware works, the ransomware-as-a-service model and where NetWalker fits into all of this.
Cybercrimes start and end with people. They start with the motivations of people who seek to enrich themselves regardless of the harm, pain and suffering they cause. They prey on their target’s fears and depend on you acting without fully considering the situation. Most of the time, they use known manipulation tactics to coerce individuals to give up sensitive information such as login credentials, personal information and other confidential data in order to hack into an organization’s network and steal information.
Known system vulnerabilities are also exploited to gain access and move undetected through an organization’s network, stealing and compromising data as they go. In recent years, ransomware gangs have become increasingly popular, as ransomware has become one of the top cyber threats. Cybercriminals use ransomware to encrypt files which can only be decrypted using a decryption provided by the ransomware gang for a ransom.
Ransomware has been a huge money maker.
It takes a community to commit a cybercrime.
When it comes to ransomware, it usually isn’t a single individual acting on their own, but an organized group of folks acting as either developers or affiliates. Developers create the ransomware code and tools needed to encrypt the data, while affiliates implement and follow through with the attack. This way of conducting a ransomware attack is known as ransomware-as-a-service (RaaS) as the developers are providing the affiliates with the service for a fee.
RaaS can operate with developers selling the code and tools needed to conduct the attack to affiliates outside their criminal organization, or they can provide it to affiliates within their gang for a price and cut of the ransom when it’s paid. The RaaS model is popular as it benefits both developers and affiliates: the developers are guaranteed an income whether or not the target organization pays the ransom as the affiliates pay them in advance, and the affiliates don’t need to be exceptionally tech-savvy since they only need to know how to implement the ransomware – not create and sustain it.
NetWalker has been advertise as a RaaS since March of 2020, according to documents produced by the FBI. Like other RaaS models, it is made up of developers who create the ransomware and affiliates who implement it to the organizations and companies targeted. As mentioned in an unsealed FBI document, within NetWalker, the affiliates are also responsible for searching and researching “high-value” target organizations to launch attacks on using ransomware code packages created by the developers.
Organizations are targeted either because of the valuable, confidential data they possess, which could disrupt the functionality of the organization, or because of ties the information may hold to other organizations, individuals or other private affiliations.
A multi-pronged attack
Like most ransomware gangs, NetWalker not only encrypts their target’s data, but also steals it and publishes it online. According to the investigation conducted by the FBI, the stolen data includes confidential business data, individual personal identifying information, medical records and educational records. It’s generally believed that only if the target does not pay the ransom their data will be published online; however, this is not always the case, and like most criminal organizations, NetWalker does not always play by the rules they’ve created.
In May of 2020, the FBI came across the NetWalker Blog which helps the ransomware gang publish stolen data from targeted organizations. Once on the dark web, the NetWalker Blog is easily accessible to any and all cybercriminals as it’s not encrypted. FBI surveillance recorded in an unsealed FBI document, reveals that, in their entries, the NetWalker Blog names the targeted organization, a summary of their services and a link to where or when the organization’s data will be published. The Blog also posts screenshots of the confidential information to prove that they’re serious, a scare tactic other ransomware gangs also partake in.
Stay tuned for Part 2 where we’ll tell the story of Sebastien Vachon Desjardins and begin to unravel how he scammed organizations out of millions of dollars through his affiliation with NetWalker.
The more you know
Understanding what motivates criminals, who they are and how they work is a vital part of building a more resilient organization. It helps make cybersecurity more real for everyday people and helps individuals and organizations develop plans to better protect themselves from cyber threats. Please consider sharing this series to help more people understand 21st-century crime and how to protect themselves.