Nouveau coup dur pour la cybercriminalité mondiale. Quelques heures après l'annonce d'une coalition policière ayant mis à terre le puissant réseau malveillant basé sur le trojan Emotet, c'est au tour des opérateurs malveillants derrière le ransomware NetWalker d'être visés. Le département de la Justice américain, le FBI et les forces du service national d'enquête bulgare ont mené une opération ayant permis de déconnecter et prendre le contrôle de plusieurs serveurs, sites et services malveillants utilisés à des fins d'extorsion (leak de données, échanges avec les cybergangs, paiements de rançons...)

« L'action contre NetWalker met en accusation un ressortissant canadien en relation avec des attaques de ransomware NetWalker dans lesquelles des dizaines de millions de dollars auraient été obtenus, la saisie d'environ 454 530 $ en crypto-monnaie provenant de paiements de rançon et la désactivation d'une ressource cachée du dark web utilisée pour communiquer avec les victimes du rançongiciel NetWalker », explique le DoJ dans un communiqué.

Un modèle bien rodé de ransomware as a service

Rappelons que NetWalker repose sur un principe de ransomware-as-a-service dans lequel on distingue d'une part les développeurs du malware de ceux chargés de les opérer, appelés affiliés, lesquels reversent aux premiers une commission sur le butin des rançons extorquées aux victimes. En contrepartie, les développeurs se chargent des mises à jour, du support et de l'optimisation des capacités de charge virale du ransomware pour le rendre toujours plus dangereux. Une modèle gagnant-gagnant de cyberbusiness criminel en somme.

Sans atteindre l'ampleur de la contre-attaque menée dans le cadre de l'opération contre Emotet, cette opération montre que les forces de police et de justice ne lâchent rien dans la course infernale contre les cybergangs. Aux Etats-Unis, on ne compte plus les organisations ciblées par NetWalker, incluant aussi bien des universités (dont San Francisco), des lycées que des hôpitaux et des services d'urgence, mais en France ce ransomware a sévi aussi fortement. Des entreprises comme MMA, Rabot Dutilleul, Bolloré Transport et Logistics RDCEquinix ou encore Enel feraient partie des victimes.