La société d’analyse blockchain a fourni des outils d’enquête pour aider le DOJ à retrouver les fonds d’un ransomware
Hier, le ministère américain de la justice (DOJ) a annoncé la saisie de près d’un demi-million de dollars en crypto-monnaies dans le cadre d’un effort international coordonné visant à arrêter NetWalker, une forme sophistiquée de ransomware.
Les acteurs du NetWalker propagent le logiciel de rançon sur le réseau informatique d’une organisation avant d’envoyer une demande de rançon et des instructions de paiement. Pendant la pandémie, les attaques ont spécifiquement visé le secteur de la santé.
La société Chainalysis, spécialisée dans l’analyse blockchain, a révélé hier sur son blog que ses outils d’investigation avaient été utilisés pour aider à retrouver les fonds de ransomware. Leurs données ont montré que près de 350 millions de dollars de crypto-monnaies ont été payés par les victimes de ransomware en 2020, soit une augmentation de 311 % par rapport à l’année précédente.
Valeur totale des crypto-monnaies reçues par les adresses de ransomware de 2016 à 2020. Source : Chainalysis
L’un des facteurs de l’augmentation des attaques est l’apparition du modèle Ransomware as a Service (RaaS) qui est utilisé par de nombreuses souches de logiciels de rançon, dont NetWalker. Ce modèle met en scène des développeurs qui louent l’usage de leur logiciel à des attaquants connus comme des « affiliates », la rançon étant répartie entre tous.
Chainalysis a également partagé des données indiquant que NetWalker était parmi les 10 premières souches de ransomware en termes de revenus cette année et a généré plus de 46 millions de dollars depuis son émergence en août 2019.
De plus, l’analyse blockchain a révélé que les acteurs de NetWalker utilisaient des crypto-monnaies pour payer l’hébergement de stockage dans le cloud, probablement pour stocker les données des victimes volées en vue d’une nouvelle extorsion. Au moins 305 victimes de 27 pays différents ont été touchées, dont 203 des États-Unis.
Le DOJ a non seulement désactivé une ressource du darknet utilisée pour communiquer avec les victimes de NetWalker et a saisi environ 454 530,19 $ en crypto-monnaies pour le paiement de rançons, mais il a également annoncé qu’il avait accusé Sébastien Vachon-Desjardins, un ressortissant canadien dans le Middle District de Floride, d’avoir endommagé intentionnellement un ordinateur protégé et d’avoir transmis une demande en relation avec celui-ci.
Vachon-Desjardins aurait été impliqué dans au moins 91 attaques de NetWalker depuis avril 2020 et est associé à au moins 345 adresses blockchain, ce qui lui a permis de recevoir plus de 14 millions de dollars en BTC, ce qui représente au moins 27,6 millions de dollars en valeur actuelle.
Le procureur américain du Middle District of Florida, Maria Chapa Lopez, a déclaré : « Cette action reflète la détermination du bureau du procureur américain du Middle District of Florida de cibler et de perturber les systèmes internationaux sophistiqués de cybercriminalité. Bien que ces personnes pensent opérer de manière anonyme dans l’espace numérique, nous avons les compétences et la ténacité nécessaires pour identifier et poursuivre ces acteurs dans toute la mesure de la loi et saisir leurs produits du crime ».