Le rançongiciel NetWalker a récolté 29M$ depuis Mars

Le rançongiciel NetWalker existe depuis environ un an, mais il s’est vraiment fait un nom en 2020, accumulant environ 29 millions de dollars de gains depuis le mois de Mars 2020.

Détecté pour la première fois en Août 2019, NetWalker était peu actif avant de monter en flèche entre Mars et Juin, selon une analyse de McAfee Advanced Threat Research (ATR). La hausse a coïncidé avec la mise en œuvre d’un modèle robuste de ransomware-as-a-service (RaaS), qui a attiré des cyber-criminels techniquement avancés.

«Le RaaS de NetWalker donne la priorité à la qualité à la quantité et recherche des personnes russophones et ayant une expérience des grands réseaux», a noté la société dans une analyse. «Les personnes qui ont déjà un pied dans le réseau d’une victime potentielle et qui peuvent facilement exfiltrer les données sont particulièrement recherchées. Cela n’est pas surprenant, étant donné que la publication des données des victimes fait partie du modèle de NetWalker. »

Cela se reflète dans certaines des attaques attribuées au malware NetWalker, qui visent principalement les grandes organisations en Europe et en Amérique du Nord. Il s’agit notamment d’attaques visant le géant des transports Toll Group, l’Université de Californie à San Francisco et, plus récemment, la société française de batteries intelligentes Forsee. En plus, une récente alerte du FBI a averti que les attaquants du ranongiciel NetWalker ciblent désormais des organisations gouvernementales américaines et étrangères.

De nombreuses organisations semblent payer: «McAfee a découvert une somme importante de Bitcoins liés à NetWalker, ce qui suggère que ses efforts d’extorsion sont efficaces et que de nombreuses victimes n’ont eu d’autre choix que de succomber à leurs demandes criminelles», selon les chercheurs.

Des revenus à la hausse

Les opérateurs du logiciel malveillant ont apporté certains changements à leur approche marketing qui ont pris effet en Mars, lorsque la hausse a commencé.

Quelqu’un utilisant le pseudonyme «Bugatti» a commencé à faire de la publicité pour le RaaS NetWalker à ce moment-là – et les chercheurs ont émis l’hypothèse que, compte tenu de la réputation de NetWalker sur les forums clandestins, «l’individu derrière le pseudonyme Bugatti est très probablement un cybercriminel respecté et expérimenté.»

L’individu est également très proactif.

“Bugatti fournit des mises à jour régulières et des améliorations au ransomware, comme la méthode populaire Invoke-ReflectivePEInjection, également couramment utilisée par Sodinokibi“, ont déclaré les chercheurs dans le message.

«En plus des améliorations apportées au rançongiciel, des positions ouvertes pour les nouveaux affiliés sont annoncés. Bugatti a fortement insisté sur le fait qu’il recherche principalement des affiliés expérimentés qui se concentrent sur la compromission des réseaux d’organisations contrairement aux utilisateurs finaux. NetWalker suit clairement les traces de ses illustres prédécesseurs tels que Sodinokibi, Maze et Ryuk. »

ransomware

Au cours de leur enquête, les chercheurs ont remarqué un message du forum contenant des captures d’écran de plusieurs adresses Bitcoin partielles et des montants en dollars. En utilisant le logiciel CipherTrace, ils ont pu retrouver les adresses Bitcoin complètes à partir de la capture d’écran et mener une enquête plus approfondie.

«Étant donné que la blockchain Bitcoin est un registre accessible au public, nous pouvons suivre l’argent et voir où les opérateurs du rançongiciels le transfèrent», explique le rapport.

Dans une transaction, le montant a été divisé entre quatre adresses Bitcoin différentes – une situation courante dans les transactions RaaS, ont noté les analystes, car le paiement est réparti entre les opérateurs RaaS et le ou les affiliés. Dans ce cas observé, les fractions étaient de 80 pour cent, 10 pour cent et deux portions de 5 pour cent.

«Alors que les bénéficiaires [de l’opérateur NetWalker] des réductions de 5 pour cent restent les mêmes, le bénéficiaire de la réduction de 10 pour cent semble changer au fil du temps», ont noté les chercheurs. “En se basant sur le message du forum, nous supposons que ces adresses appartiennent également aux opérateurs de NetWalker.”

Pendant ce temps, environ 30 adresses Bitcoin uniques ont été les bénéficiaires du partage de 80%.

La société a également trouvé 23 transactions dans lesquelles les paiements de rançon n’étaient pas fractionnés, et les seuls bénéficiaires étaient les deux adresses Bitcoin recevant les parts de 5% dans le fractionnement.

«Le montant total de Bitcoin extorqué de cette manière entre le 1er mars 2020 et le 27 juillet 2020 est de 677 BTC», selon les chercheurs. «De plus, le montant reçu des transactions restantes suite au programme de ransomware-as-a-service par ces adresses entre le 1er mars 2020 et le 27 juillet 2020 est de 188 BTC… [nous avons également vu] un total de 1723 BTC transférés aux affiliés.»

Au total, cela représente 2588 BTC, ce qui, au taux de change actuel, se traduit par 29 111 118 dollars(24 738 832€).

Changements techniques de NetWalker

Le malware lui-même a également subi quelques modifications depuis Mars. Par exemple, la dernière note de rançon NetWalker supprime une demande de communication par courrier électronique pour la remplacer par l’obligation d’exiger des victimes qu’elles contactent les attaquants via une interface Tor de NetWalker. Après avoir soumis une clé utilisateur, les victimes sont redirigées vers un chat avec le support technique de NetWalker, où elles peuvent payer la rançon.

Les opérateurs ont également abandonné l’utilisation des anciennes adresses Bitcoin pour les remplacer par des adresses SegWit.

«Les avantages de l’utilisation des nouvelles adresses SegWit incluent un temps de transaction plus rapide et un coût de transaction plus faible», selon les chercheurs. «La publicité de NetWalker sur le forum clandestin mentionne des paiements instantanés et entièrement automatiques à l’époque de ce changement observé. Cela nous porte à croire que les opérateurs du rançongiciel professionnalisaient leur fonctionnement juste avant de passer au modèle de ransomware-as-a-service. »

Le malware NetWalker utilise un type de ressource personnalisé (1337 ou 31337) contenant toute sa configuration, ont expliqué les chercheurs. NetWalker utilise son fichier de configuration dans la ressource pour définir son mode de chiffrement, le nom de la note de rançon, les informations de contact (après Mars, cela signifie spécifier l’URL du blog NetWalker/la page de paiement au lieu d’une adresse e-mail) et plus encore.

«Ce fichier est extrait en mémoire et déchiffré à l’aide de l’algorithme RC4 avec une clé codée en dur dans la ressource», selon l’analyse. «Si le logiciel malveillant ne parvient pas à obtenir le fichier de configuration, il se terminera de lui-même.»

rançongiciel netwalker

Dans l’ensemble, les rançongiciels sont devenus une activité lucrative pour les cybercriminels, en particulier avec la montée en puissance des modèles RaaS – des forums clandestins vendant des ransomwares, en allant jusqu’à l’offre de services tels que des portails d’assistance pour guider les victimes à travers l’acquisition de crypto-monnaie pour le paiement, à la négociation de la rançon.

«Le passage récent à un modèle de ransomware-as-a-service centré sur l’entreprise est un signe clair qu’il s’intensifie, il semble donc que le groupe NetWalker suit les traces de REvil et d’autres groupes RaaS à succès», a conclu l’entreprise.

«Les développeurs de ransomwares ont prouvé leur capacité à se recentrer et à capitaliser sur les événements mondiaux actuels et à développer des leurres pour aider à garantir l’efficacité du ransomware, ce qui leur a permis de devenir sélectifs pour leurs affiliés en limitant l’accès au ransomware à ceux qui ont un accès vérifié aux grandes organisations. Alors que le développement du ransomware se poursuit, nous avons été témoins de récents changements dans l’activité qui suivent de près les traces d’autres développements de ransomware, notamment en menaçant les victimes de divulguer des informations confidentielles si la rançon n’est pas satisfaite.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x