Business des ransomwares : Netwalker en chiffre
Après l’arrestation d’un opérateur présumé du ransomware Netwalker, le business se fait plus clair pour des voyous capables d’amasser des millions de dollars via leurs chantages numériques.
Les autorités ont mis la main sur ce qui semble être un des « barons » du ransomware. Sébastien Vachon-Dejardin, aka Bugatti, un canadien qui semble se cacher derrière le ransomware Netwalker. Selon les autorités, au moins 305 victimes, via 27 pays différents. Intéressant chiffre que je mets en parallèle avec ceux que j’ai pu collecter dans mon enquête « ransomware 365« . Netwalker annonçait être dans sa seconde phrase de rançonnage, celle de non-divulgation des données volées, pour 149 cas.
Cela indique donc, en parallèle des chiffres des autorités, que 156 entreprises étaient encore en phase 1, celle du chiffrement des machines et fichiers. Sur ces 305 victimes, 22 Françaises (15 pour la seconde phase), 19 canadiennes (17 en seconde phase). Des chiffres qu’il faut prendre dans tous les cas avec des pincettes, les miens comme ceux indiqués par les autorités.
Par exemple, il est indiqué par la justice US un cas en suède. ZATAZ peut affirmer que Netwalker affichait deux entreprises Suédoises, en juin et juillet 202, en phase 2 : Caperio AB et Bisnode. En Allemagne, on nous parle de 2 cas. ZATAZ en a vu 5 ; Rien en Israël ou encore Irlande ? Netwalker en affichait un par pays, en phase 2. Je suivais ce pirate depuis janvier 2020. Il diffusera de nombreuses demandes de recrutement dés février 2020. Ci-dessous, un exemple d’annonce de mars 2020 et deux sociétés Canadiennes.
Ce que l’analyse de la blockchain nous dit sur les opérations et les finances de NetWalker
ChainAnlysis revient sur ce financement par cryptomonnaie. En règle générale, quatre « individus » recevaient l’argent tiré des attaques NetWalker: l’administrateur ou le développeur probable (8-10%), l’affilié (76-80%) et deux rôles mandatés (2,5% -5% chacun). Des chiffres que ZATAZ vous révélait en juillet 2020. Dans certains cas, 100% de l’argent revient à l’administrateur de Netwalker. Mais pour le moment, personne ne sait qui est cette personne. Le canadien arrêté « n’était » qu’un affilié. Celui qui loue le ransomware. Il doit se charger d’obtenir l’accès au réseau de la future victime et de déployer le code malveillant. Il existe également des cas où un portefeuille reçoit 100% du paiement, ce qui, selon nous, appartient à l’administrateur NetWalker et indique qu’il ou elle peut également être directement impliqué dans certaines des attaques.
L’analyse de la blockchain révèle qu’il y avait en fait moins de 20 affiliés uniques. Parmi ces affiliés, certains ont rarement déployé NetWalker. Certains sont passés à d’autres ransomwares. L’analyse de la blockchain a révélé au moins 345 adresses associées à Vachon-Desjardins depuis février 2018. 345 adresses pour 345 victimes donc ! 14 millions de dollars en Bitcoin ont été engrangé par ce pirate qui aurait lançait 91 attaques en utilisant le ransomware Netwalker. Donc, si je reprends les chiffres du Département de la Justice : Netwalker, le ransomware a fait plus de 305 victimes ; Bugatti en aurait impacté à lui seul 91 et aurait créé 345 adresses Bitcoin dédiées aux transactions frauduleuses. Mais alors, qui sont les 15 autres partenaires affiliées ?
Vachon-Desjardins est soupçonné d’avoir déployé, dans la foulée Sodinokibi, Suncrypt et Ragnarlocker. Comme je vous le montre dans mes captures écrans effectuées en 2020 dans l’enquête « Ransomware 365« , le pirate Bugatti recrutait aussi pour Netwalker. Alors, simple petit lieutenant de Netwalker ou baron 2.0 à la tête de ce ransomware ?
Cette affaire laisse cependant plusieurs questions sans réponse
305 victimes de Netwalker ou du pirate Canadien ? Les 156 entreprises piégées, qui ont eu leurs données volées, ont-elles alertées les autorités, les partenaires, les victimes par rebond (vol de leurs données …) ?
Font-elles, aujourd’hui, les malines en indiquant « avoir maitrisé l’attaque » ou encore « nous n’avons eu aucunes exfiltrations d’informations« .
Où sont cachées les données volées ? Bugatti payait des services cloud pour son stockage. J’ai pu découvrir le long de mon enquête qu’il passait aussi par des services gratuits tels que Drop Me Files ou Méga.
Ces données ont-elles été revendues comme j’ai pu vous le prouver plusieurs fois ?
Et je finirai par cette question : Netwalker, CUBA, Doppel, Egregor … sont clairement à mettre au pilori, mais que penser de toutes ces entreprises (et les sociétés de cybersécurité) qui ont préféré payer et engraisser ces voyous ?