Bienvenue à la quatrième partie de l’histoire de l’affilié, un véritable cybercrime. Dans les billets de blogue précédents, nous avons examiné comment fonctionne un groupe criminel organisé qui utilise des rançongiciels, comment une organisation découvre qu’elle a été la cible d’une attaque de rançongiciel NetWalker, comment on devient un affilié NetWalker et tout ce que vous devez savoir sur les serveurs internationaux. Dans ce billet de blogue, nous examinerons les différentes organisations ciblées par l'affilié sur une période de quelques semaines.

Pour lire la première partie, cliquez ici.

Pour lire la deuxième partie, cliquez ici.

Pour lire la troisième partie, cliquez ici .

Devriez-vous payer la rançon?

Il est à la fois incroyable et intimidant de penser que l’affilié a commis cinq attaques brutales contre des organisations à travers les États-Unis et au-delà en l’espace de quelques semaines. C’est aussi l’une des raisons pour lesquelles les organisations devraient toujours, quelles que soient les circonstances, refuser de payer la rançon demandée par les groupes qui utilisent des rançongiciels.

Imaginez, ces attaques montrent ce qu’une seule personne peut accomplir en si peu de temps. Que se passe-t-il si NetWalker a 10 affiliés? Ou 100? Ou 1000? Le montant des dommages qu’un groupe criminel est capable de causer grâce aux rançongiciels monte rapidement, c’est pourquoi vous ne voulez pas être responsable de leur jour de paie.

Même si vous coopérez avec les criminels, vous ne pouvez jamais supposer que ceux-ci seront fidèles à leur parole, car rien ne les tient responsables de la restauration de vos fichiers cryptés. Il est aussi hautement probable qu’ils ont fait une copie des données qu’ils peuvent ensuite utiliser dans de futures attaques contre l’organisation; ils peuvent aussi publier ces informations sur le Web clandestin, indépendamment du paiement. La meilleure chose que vous puissiez faire est de suivre votre plan de réponse en cas d’incident.

Les organisations ciblées par l’affilié

C’est exactement ce qu’a fait la première organisation ciblée par Sébastien Vachon Desjardins. Le FBI rapporte qu’au début du mois de mai 2020, une société de télécommunications dont le siège social est situé en Floride a appris que son réseau avait été compromis par le rançongiciel NetWalker. NetWalker a exigé une rançon de 300 000 $ US en Bitcoin, que l’organisation ciblée a refusé de payer. Un document divulgué par le FBI révèle que l’organisation ciblée affirme avoir dépensé environ 1,2 million $US en frais de restauration. L’organisation a été ciblée par le biais de son réseau privé virtuel (RPV) Pulse Secure. Grâce à une analyse médico-légale, il a été révélé qu’un serveur international, qui serait plus tard identifié comme Poland Server #1, avait été utilisé pour obtenir cet accès.

Un peu plus d’une semaine plus tard, vers le 8 mai 2020, une deuxième organisation a été attaquée par l’affilié. L’établissement d’enseignement a appris qu’il avait été la cible d’une attaque au rançongiciel NetWalker de la même manière que l’entreprise de télécommunications, soit par le biais d’une note de rançon sur un ou plusieurs postes de travail. Cependant, la deuxième organisation ciblée n’a pas découvert le montant de la rançon demandée, car elle n’a pas visité le panneau Tor de NetWalker. Grâce à une analyse médico-légale, le FBI a conclu que le même serveur international avait été utilisé pour obtenir un accès non autorisé au RPV Pulse Secure de l’organisation.

À ce stade, le FBI surveillait le premier serveur polonais et anticipait une autre attaque. Quelques jours plus tard, le 13 mai 2020, ils ont observé une nouvelle construction sur le serveur pour une entreprise de logistique de transport française. Malheureusement, ils n’ont pas contacté les autorités françaises à temps, et l’attaque a été lancée. La troisième organisation ciblée a reçu la note de rançon l’informant que ses données avaient été cryptées le 15 mai 2020, pour une rançon initiale de 50 000 $US en Bitcoin, qui a ensuite été augmentée à un montant stupéfiant de 2 millions $US en Bitcoin, que l’organisation n’a pas payé.

À ce moment, les enquêteurs du FBI qui suivaient l’attaque ont observé un billet sur le blogue NetWalker qui indiquait que les données volées à la société de logistique de transport seraient publiées en ligne le 30 mai 2020, avec une capture d’écran accompagnant le message pour prouver que les criminels ne bluffaient pas. Fidèles à leur parole, le 30 mai, les données de l’organisation ont été divulguées sur le blogue NetWalker. Ce n’est qu’à ce moment-là que le FBI a commencé à surveiller l’affaire plus en profondeur; il est donc possible que les données tirées des deux premières attaques aient été divulguées, bien que cela ne soit pas mentionné dans le rapport du FBI.

Jusqu’à présent, aucune des trois organisations ciblées par l’affilié n’avait payé la rançon, ce qui signifie que, si c’étaient les seules organisations qui avaient été ciblées, l’affilié n’avait pas réellement fait de profit de ces attaques au rançongiciel. La situation a changé avec la quatrième organisation ciblée, un établissement d’enseignement dont le siège social se situe en Californie. L’organisation a été ciblée vers le 3 juin 2020 et a finalement payé une rançon de 1,4 million $US en Bitcoin.

Malheureusement, seulement cinq jours plus tard, leurs données ont été divulguées sur le blogue NetWalker. Contrairement aux organisations ciblées précédentes, il a été révélé qu’un deuxième serveur international (Poland Server #2) était derrière de cette attaque.

Bien qu’elle se soit produite avant la quatrième attaque, le FBI classe l’attaque contre cette organisation en dernier, car elle a été découverte après les quatre premières. Alors que les quatre autres attaques ont été découvertes via les serveurs internationaux, la cinquième a été découverte via un paiement de rançon dans l’une des multiples adresses courriel de l’affilié. Nous expliquerons en détail comment le FBI a commencé à suivre les adresses courriel et a pu les lier à l’affilié dans la cinquième partie; mais pour l’instant, nous allons simplement examiner comment une adresse courriel a permis au FBI d’identifier une cinquième victime.

La cinquième organisation ciblée, une société d’éducation de Washington, aurait été attaquée en mai 2020. Ils ont finalement fini par payer près de 10,5 Bitcoins, soit environ 94 877 $ US. En enquêtant sur un compte de messagerie qui appartient à l’affilié, les enquêteurs du FBI ont découvert qu’il avait reçu environ 72 374 $US pour cette attaque au rançongiciel, une assez bonne prise pour un affilié. Les enquêteurs du FBI ont également découvert une construction liée à cette attaque sur Poland Server #1, ainsi que cinq captures d’écran que l’affilié avait créées et qui étaient associées aux données volées à l’organisation.

Restez à l’affût pour la cinquième partie de la série de billets de blogues sur l’affilié où nous examinerons la façon dont les enquêteurs du FBI ont commencé à traquer Vachon Desjardins par le biais des serveurs internationaux et d’adresses courriel.

Plus vous en savez

Comprendre ce qui motive les criminels, qui ils sont et comment ils travaillent est essentiel pour assurer la résilience des organisations. S’informer contribue à rendre la cybersécurité plus tangible pour les gens ordinaires et permet aux individus et aux organisations d'élaborer des plans pour mieux se protéger contre les menaces en ligne. Partagez cette série pour aider plus de gens à comprendre la criminalité au 21e siècle et apprendre comment se protéger.