Ransomware : qu’attendre de l’opération de police contre NetWalker ?

La surprise a été grande pour ceux qui, ce mercredi 27 janvier dans l’après-midi, ont découvert, sur le site de NetWalker, le message : « ce site caché a été saisi par le FBI, dans le cadre d’une action coordonnée des forces de l’ordre contre le ransomware NetWalker ».

Quelques heures plus tard, le ministère américain de la Justice confirmait l’authenticité du message, revendiquant « une action mondiale contre le rançongiciel NetWalker ». Dans un communiqué de presse, le procureur général adjoint par intérim, Nicholas L. McQuaid, explique : « nous contre-attaquons la menace croissante des ransomwares, non seulement en poursuivant les acteurs responsables, mais également en perturbant l’infrastructure criminelle en ligne et, autant que possible, la collecte de paiements de rançons auprès de victimes extorquées ».

De fait, contrairement à d’autres groupes pratiquant la double extorsion, les opérateurs de NetWalker ne proposaient qu’un même site pour afficher leurs victimes récalcitrantes et dialoguer avec les autres. Il n’était pas rare que le groupe commence par exhiber une victime sur son site, assez vite après l’avoir frappée, quitte à en supprimer la mention après réussite des négociations. En France, NetWalker a revendiqué l’an passé des attaques contre Porcher Industries, Bolloré Logistics, CPM France, MisterFly, Dutilleul, Prismaflex, Scutum, Activisu Solutions, Kinaxia, Umanis, Finistère Habitat, la ville et l’agglomération de La Rochelle, et tout début 2021, Coffim. En somme, les victimes françaises revendiquées ouvertement par les opérateurs de NetWalker l’an dernier représentent environ 10 % de toutes celles qu’ils ont exhibées en 2020.

Citant les autorités américaines, le spécialiste de l’analyse des chaînes de blocs Chainalysis, évoque le chiffre de 22 victimes en France, pour un total d’au moins 305.

Le ministère américain de la Justice estime que les activités des opérateurs de NetWalker ont permis de soutirer des « dizaines de millions de dollars » à leurs victimes.

Dans son communiqué de presse, le ministère américain de la Justice estime que les activités des opérateurs de NetWalker ont permis de soutirer des « dizaines de millions de dollars » à leurs victimes. Et d’indiquer que plus de 450 000 $, en cryptomonnaies, ont été saisis. Un Canadien, Sébastien Vachon-Desjardins, est accusé d’avoir été l’un des affiliés de NetWalker et d’en avoir retiré au moins 27,6 M$. Il aurait été impliqué dans au moins 91 attaques liées à ce ransomware. Chainalysis le suspecte également d’avoir participé à des opérations liées aux rançongiciels Sodinokibi, SunCrypt, et Ragnar Locker. C’est ce dernier qui a frappé notamment CMA-CGM et Dassault Falcon Jet.

Aujourd’hui, le forum russophone sur lequel les opérateurs de NetWalker recrutaient a supprimé le fil de discussion consacré à ce ransomware. De toute évidence, l’heure est donc à la prudence. Sur le papier, c’est assurément une bonne nouvelle. Et cela d’autant plus que NetWalker a été l’un des rançongiciels les plus visiblement menaçants en 2020, avec 156 victimes connues, devant DoppelPaymer et Pysa, mais derrière Revil/Sodinokibi, Maze, Conti, et Egregor.

Et depuis le 1^er janvier 2021, le groupe avait déjà revendiqué 23 victimes supplémentaires. De quoi porter le total de victimes connues à près de 180, depuis le début des hostilités, en avril dernier. Une bouffée d’air frais pour les DSI et RSSI ? Pas sûr…

L’exemple de Sébastien Vachon-Desjardins conforte ce que beaucoup soupçonnent : les interconnexions entre familles de ransomwares jouant la carte des « affiliés » sont probablement bien plus nombreuses qu’il n’a pu être (ouvertement) établi jusqu’ici. Et l’heure ne semble pas être à la panique du côté des cyberdélinquants. Aujourd’hui, le récent groupe Ragnarok a revendiqué deux nouvelles victimes. Cela vaut aussi pour le groupe Conti. Et l’on compte une nouvelle victime affichée du côté de Babuk, et une autre du côté de RansomExx. La tempête est loin d’être passée.