Un Canadien a été accusé par le FBI d’être l’un des cybercriminels parmi les plus prolifiques au monde, empochant des dizaines de millions de dollars en tant qu’agent d’une organisation criminelle internationale obscure connue sous le nom de NetWalker. Voici son histoire.

Dans cette série en 8 parties, nous explorerons cette véritable histoire de crime, dont les développements continuent alors qu’une épidémie mondiale de rançongiciels fait rage dans tous les pays. Nous couvrirons les cibles de NetWalker, qui vont des secteurs de la santé et de l’éducation à ceux des télécommunications et de la logistique du transport. Cette série nous mènera de la ville de Gatineau au Québec à des serveurs en Pologne et en Bulgarie, et impliquera l’expertise d’enquête du FBI et de la GRC. Dans cette première partie, nous passerons en revue le fonctionnement des rançongiciels, le modèle du rançongiciel-service, ainsi que la place de NetWalker dans tout cela.

Les cybercrimes commencent et se terminent avec les gens. Ils commencent par les motivations d’individus qui cherchent à s’enrichir indépendamment du mal, de la douleur et de la souffrance qu’ils causent. Ils tirent profit de la peur de leurs cibles et ont besoin que les individus agissent sans tenir pleinement compte de la situation. La plupart du temps, ils utilisent des tactiques de manipulation connues afin de contraindre les individus à donner des informations sensibles telles que des identifiants de connexion, des informations personnelles et d’autres données confidentielles afin de pirater le réseau d’une organisation et voler des informations.

Les vulnérabilités connues des systèmes sont également exploitées par ces individus pour leur permettre d’accéder et de se déplacer sur le réseau d’une organisation sans être détectés afin de voler et compromettre des données. Ces dernières années, les groupes organisés qui utilisent des rançongiciels sont devenus de plus en plus courants, à mesure que les rançongiciels se sont hissés au sommet des cybermenaces les plus communes. Les cybercriminels utilisent des rançongiciels pour crypter des fichiers qui ne peuvent être déchiffrés qu’à l’aide d’une clé de déchiffrement fournie par le groupe organisé en échange d’une rançon.

Les rançongiciels ont permis à ces groupes d’empocher des sommes considérables.

Commettre un crime en ligne nécessite toute une communauté.

En ce qui concerne les rançongiciels, il ne s’agit généralement pas d’une personne agissant seule, mais d’un groupe organisé de personnes agissant en tant que développeurs ou affiliés. Les développeurs créent le code des rançongiciels et les outils nécessaires pour crypter les données, tandis que les affiliés mettent en œuvre les attaques et assurent leur bon déroulement. Cette façon de mener une attaque au rançongiciel est connue sous le nom de « rançongiciel-service » ou RaaS, (pour ransomware-as-a-service), car les développeurs fournissent aux affiliés le service moyennant des frais.

Image showing hooded and masked people hiding their faces

Les développeurs peuvent vendre à des affiliés en dehors de leur organisation criminelle le code et les outils nécessaires pour mener l’attaque, ou ils peuvent le fournir à des affiliés au sein de leur propre organisation pour un prix fixe ainsi qu’une portion de la rançon lorsqu’elle est payée. Le modèle RaaS est populaire, car il profite à la fois aux développeurs et aux affiliés : les développeurs ont la garantie d’obtenir un revenu, et ce que l’organisation cible paie ou non la rançon, car les affiliés les paient à l’avance. De leur côté, les affiliés n’ont pas besoin d’être exceptionnellement technophiles, car ils ont simplement besoin de savoir comment utiliser le rançongiciel, et n’ont pas à savoir comment le créer ou le maintenir.

Selon des documents publiés par le FBI, NetWalker est identifié comme un RaaS depuis mars 2020. Comme d’autres modèles de RaaS, le groupe est composé de développeurs qui créent les rançongiciels et d’affiliés qui lancent les attaques contre les organisations et entreprises ciblées. Comme le mentionnait un document rendu public par le FBI, au sein de NetWalker, les affiliés sont également responsables de trouver des organisations cibles de « grande valeur » et de faire des recherches sur ces dernières afin de lancer des attaques qui utilisent des codes sources créés par les développeurs.

Les organisations sont ciblées soit en raison des données précieuses et confidentielles qu’elles possèdent, ce qui pourrait perturber la fonctionnalité de l’organisation, soit en raison des liens que les renseignements peuvent avoir avec d’autres organisations, personnes ou affiliations privées.

Une attaque à plusieurs volets

Comme la plupart des groupes organisés qui utilisent des rançongiciels, NetWalker agit non seulement en cryptant les données de leur cible, mais aussi en les dérobant avant de les publier en ligne. Selon l’enquête menée par le FBI, les données volées comprennent des données commerciales confidentielles, des informations d’identification personnelle, des dossiers médicaux et des dossiers scolaires. On pense généralement que ce n’est que si la cible ne paie pas la rançon que ses données seront publiées en ligne; cependant, ce n’est pas toujours le cas, et comme la plupart des organisations criminelles, NetWalker ne joue pas toujours selon les règles qu’ils ont eux-mêmes établies.

Picture of a hooded figure in the dark looking at computer screens.

En mai 2020, le FBI est tombé sur le blogue de NetWalker qui aide le groupe organisé à publier des données volées aux organisations ciblées. Une fois publié sur le Web clandestin, le blogue de NetWalker est facilement accessible à tous les cybercriminels, car son accès n’est pas chiffré. Un document rendu public par le FBI relatant les données de surveillance sur le groupe révèle que dans leurs entrées, le blogue NetWalker nomme l’organisation ciblée, donne un résumé de leurs services et fournit un lien vers les données de l’organisation ou informe le moment où elles seront publiées. Des captures d’écran des informations confidentielles sont aussi publiées par le groupe pour prouver que la menace est sérieuse, une tactique effrayante également utilisée par d’autres organisations criminelles.

Demeurez à l’affût pour la partie 2 de cette série, dans laquelle nous raconterons l’histoire de Sébastien Vachon Desjardins et commencerons à démêler comment il a escroqué des organisations pour des millions de dollars grâce à son affiliation avec NetWalker.

Plus vous en savez

Comprendre ce qui motive les criminels, qui ils sont et comment ils travaillent est essentiel pour assurer la résilience des organisations. S’informer contribue à rendre la cybersécurité plus tangible pour les gens ordinaires et permet aux individus et aux organisations d’élaborer des plans pour mieux se protéger contre les cybermenaces. Partagez cette série pour aider plus de gens à comprendre la criminalité au 21e siècle et apprendre comment se protéger.