Un véritable cybercrime: l’histoire de l’affilié (2e partie)

Written By Guest User

Bienvenue à cette série de billets de blogue intitulée Un véritable cybercrime : l’affilié. La première partie a fourni une introduction au monde des rançongiciels, au fonctionnement des rançongiciels-services ou RaaS, et comment le groupe organisé NetWalker s’insère dans cette histoire. Dans ce deuxième épisode, nous démêlons comment on devient membre de NetWalker et le type d’activités malveillantes utilisées par ce groupe organisé qui utilise les rançongiciels.

Si vous n’avez pas déjà lu la première partie de cette série, vous pouvez le faire ici.

Selon des données fournies par le FBI, NetWalker a ciblé plus de 100 organisations, y compris des services d’urgence, les forces de l’ordre, des districts scolaires et des établissements d’enseignement. Le groupe aurait empoché des dizaines de millions de dollars en paiements de rançongiciels.

Dans les coulisses

Alors, comment s’y prennent-ils? Selon un document rendu public par le FBI, les organisations apprennent qu’elles ont été la cible d’une attaque au rançongiciel de NetWalker et que leurs données ont été cryptées par une note de rançon qui apparaît sur un ou plusieurs ordinateurs de leur réseau. La note originelle en anglais a été partiellement publiée par les enquêteurs du FBI et se lit comme suit une fois traduite :

Bonjour! Vos fichiers sont cryptés par NetWalker... si, pour une raison quelconque, vous lisez ce texte avant la fin du cryptage, cela peut être compris par le fait que l’ordinateur ralentit et que votre fréquence cardiaque a augmenté en raison de votre incapacité à l’éteindre, nous vous recommandons de vous éloigner de l’ordinateur et d’accepter que votre réseau a été compromis. Le redémarrage ou l’arrêt de l’ordinateur vous fera perdre des fichiers sans possibilité de récupération... Nos algorithmes de cryptage sont très robustes et vos fichiers sont très bien protégés; la seule façon de récupérer vos fichiers est de coopérer avec nous et d’obtenir le programme de déchiffrement. N’essayez pas de récupérer vos fichiers sans un programme de déchiffrement; vous pouvez les endommager et alors ils seront impossibles à récupérer. Pour nous, c’est simplement une question d’affaires.

Comme nous pouvons le voir dans la partie de la note de rançon à laquelle nous avons accès, NetWalker utilise l’ingénierie sociale pour induire la peur et la panique chez les destinataires de leurs attaques calculées. Ils utilisent un langage qui favoriserait des sentiments de peur, de défaite et de désespoir, et se vantent de la force présumée de leur attaque au rançongiciel pour contraindre les organisations à payer la rançon.

Bien qu’elles ne figurent pas dans la partie publiée de la note de rançon, les organisations ciblées reçoivent également « un code unique pour l’URL d’un site Web hébergé sur le Web clandestin ». Les enquêteurs du FBI ont constaté que l’URL mène au panneau Tor de NetWalker. Un panneau ou un navigateur Tor est utilisé pour protéger l’identité des personnes qui y accèdent. Ils sont particulièrement utiles aux cybercriminels, car les fournisseurs de services Internet ou les personnes qui tentent de suivre leurs activités sur Internet ne pourront pas le faire. En effet, ils ne verront la connexion que comme provenant du panneau Tor et non de l’adresse Internet (IP) réelle de l’utilisateur, rendant l’identité de ce dernier invisible aux autorités et aux fournisseurs de services.

Grâce à son enquête, le FBI a constaté qu’une fois le code unique entré, l’organisation ciblée verra le montant de la rançon demandée en Bitcoin et les instructions pour la payer. Bien que cela ne soit pas mentionné dans le bref extrait auquel nous avons accès, les cibles du rançongiciel de NetWalker qui suivent les instructions du groupe criminel sont invitées à communiquer avec un affilié via la fonction de chat du navigateur Tor de NetWalker, probablement afin de conclure la transaction.

Si l’organisation ciblée paie la rançon en Bitcoin, la rançon est divisée entre les développeurs et les affiliés à la suite d’un accord préétabli entre les deux parties. Étant donné que tout cela se fait via le navigateur Tor de NetWalker, l’anonymat des membres de l’organisation est maintenu, ce qui rend difficile le traçage de la transaction jusqu’à ceux qui ont reçu le paiement.

Selon l’enquête du FBI, l’identification des membres de NetWalker est encore plus difficile, car ils ne sont pas identifiés par leur nom, mais par un numéro d’identification utilisateur. À la suite de cette enquête, et comme nous l’expliquerons plus en détail dans les prochains billets de blogue, M. Vachon a été accusé de participation en tant qu’affilié au groupe criminel NetWalker sous l’identifiant 128 sur le navigateur Tor de NetWalker.

Une carrière dans la cybercriminalité

Mais comment peut-on s’impliquer auprès d’une organisation criminelle comme NetWalker? Eh bien, tout comme la plupart des emplois publics et ouvertement acceptés, il existe un processus de candidature. Dans le cadre de leur enquête, les responsables du FBI ont trouvé une annonce d’emploi publiée sur un forum criminel pour NetWalker qui indiquait que les candidats devaient « identifier leur domaine d’expertise technologique, leur expérience, et les autres variantes de rançongiciel avec lesquels ils avaient travaillé ».

On ne sait pas exactement en quoi consistent l’expérience et l’expertise demandées pour décrocher un emploi comme celui-ci; mais, puisque les affiliés n’ont pas besoin d’une tonne de savoir-faire technologiques pour cibler et orchestrer avec succès une attaque au rançongiciel, nous pouvons dire avec certitude que la plupart auraient été au moins interviewés, si c’est le processus qu’ils ont suivi. Le FBI n’a indiqué dans aucun document accessible au public si le processus d’embauche exact est connu.

Maintenant que nous avons une idée générale du fonctionnement de NetWalker, nous passerons en revue dans notre prochain billet de blogue la façon dont l’affilié a fait des recherches et tenté de cacher son activité criminelle présumée aux autorités via des serveurs internationaux.

Plus vous en savez

Comprendre ce qui motive les criminels, qui ils sont et comment ils travaillent est essentiel pour assurer la résilience des organisations. S’informer contribue à rendre la cybersécurité plus tangible pour les gens ordinaires et permet aux individus et aux organisations d’élaborer des plans pour mieux se protéger contre les cybermenaces. Partagez cette série pour aider plus de gens à comprendre la criminalité au 21e siècle et apprendre comment se protéger.


Guest User
Previous

Des problèmes à long terme: les effets d’une violation de données pour les PME
Next

Un véritable cybercrime: l’histoire de l’affilié