Coup d’arrêt pour NetWalker

Coup d’arrêt pour NetWalker

Par Catalin Cimpanu | Modifié le jeudi 28 janv. 2021

Les autorités bulgares et américaines ont mis un coup d’arret à l’infrastructure de NetWalker, l’un des groupes les plus actifs en matière de ransomware en 2020.

Un serveur utilisé pour héberger les portails du gang sur le dark web a été saisi, tandis que les autorités américaines ont inculpé un ressortissant canadien qui aurait gagné au moins 27,6 millions de dollars en infectant des entreprises avec le logiciel malveillant de NetWalker.

Les serveurs saisis ont été utilisés pour héberger des pages où les victimes des attaques de NetWalker ont été redirigées pour communiquer avec les attaquants et négocier des demandes de rançon. Le même serveur hébergeait également une section blog où le groupe NetWalker divulguait les données volées des entreprises piratées qui refusaient de payer la rançon.

Ce type de modèle économique est appelé Ransomware-as-a-Service, ou RaaS, et est un dispositif commun utilisé par de nombreux groupes de ransomware aujourd’hui.

Avant le démantèlement d’aujourd’hui, NetWalker fonctionnait grâce à des sujets postés sur plusieurs forums souterrains par un utilisateur nommé Bugatti. Cet utilisateur faisait la publicité des fonctionnalités du logiciel malveillant et cherchait des “partenaires” (c’est-à-dire des affiliés) pour infiltrer les réseaux d’entreprises, voler des données pour les utiliser comme levier lors de négociations, et installer le logiciel malveillant pour chiffrer des fichiers.

Qu’est-ce que le ransomware Netwalker ?

Si les victimes payaient, Bugatti et l’affilié se partageraient les rançons selon un accord pré-négocié. Selon les autorités américaines, NetWalker a touché au moins 305 victimes de 27 pays différents, dont 203 aux Etats-Unis.

Le ransomware Netwalker a été créé par le groupe cybercriminel Circus Spider en 2019 et connaît une croissance rapide. Le groupe Circus Spider est lui-même un des nouveaux membres du réseau Mummy Spider. En surface, Netwalker se comporte comme la plupart des autres ransomwares : il infecte les systèmes par le biais d’e-mails de phishing, avant d’exfiltrer et de chiffrer des données sensibles, puis de demander une rançon importante.

Malheureusement, Netwalker ne se contente pas de prendre les données de ses victimes en otage. Pour prouver son sérieux, le groupe Circus Spider n’hésite pas à faire fuiter des échantillons des données volées en affirmant que si la victime ne répond pas à ses exigences dans les temps, il diffusera le reste sur le dark web. Le groupe a par exemple dévoilé les données sensibles d’une de ses victimes sur le réseau interlope en les plaçant dans un dossier protégé dont le mot de passe a été publié en ligne.

Le ransomware Netwalker adopte le modèle RaaS

Le RaaS consiste à recruter des affiliés pour aider les groupes cybercriminels à mettre en œuvre leurs activités malveillantes. Comme nous l’avons vu précédemment, Netwalker a commencé à gagner en notoriété avec plusieurs prises d’importance. Toutefois, le ransomware restait relativement modeste par rapport à ses concurrents… jusqu’à l’adoption d’un modèle RaaS.

Circus Spider a ainsi publié une sorte d’offre d’emploi, un ensemble de critères auxquels doivent répondre les malandrins souhaitant rejoindre le réseau.

Ses critères principaux sont les suivants :

  • Expérience en matière de réseaux
  • Expérience en matière de réseaux
  • Expérience en matière de réseaux
  • Expérience en matière de réseaux
  • Expérience en matière de réseaux

Pour attirer les meilleurs candidats, Circus Spider a aussi publié une liste des fonctionnalités dont disposeront leurs nouveaux partenaires.

Ces fonctionnalités incluent :

  • Panneau de chat via TOR entièrement automatisé
  • Droits d’observation
  • Compatibilité avec tous les appareils Windows exécutant Windows 2000 et versions supérieures
  • Outil rapide de verrouillage multi-thread
  • Paramètres de verrouillage rapides et flexibles
  • Processus de déverrouillage
  • Chiffrement du réseau adjacent
  • Builds PowerShell uniques permettant de gérer plus facilement les antivirus
  • Paiements instantanés

Sources : www.zdnet.fr, blog.varonis.fr

https://www.zdnet.fr/actualites/les-autorites-americaines-et-bulgares-font-tomber-netwalker-39917049.htm

https://blog.varonis.fr/guide-sur-le-ransomware-netwalker-tout-ce-quil-vous-faut-savoir/

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.