NetWalker est une variante de rançongiciel ciblant les systèmes Windows.
Découvert en août 2019, il a évolué tout au long de 2019 et 2020. Le FBI a signalé des pics d'attaques ciblées au cœur de la pandémie de Covid-19.
Voici l'essentiel à connaître sur ce rançongiciel qui a visé de grandes écoles, systèmes de santé et institutions gouvernementales aux États-Unis et en Europe.
Anciennement nommé Mailto, NetWalker est un rançongiciel avancé qui chiffre les fichiers, applications et bases de données critiques, les rendant inaccessibles. Les opérateurs exigent un paiement en cryptomonnaie pour la clé de déchiffrement et menacent de publier les données sensibles sur un "portail de fuite" en cas de non-paiement.
Le groupe cible de grandes organisations via des campagnes de phishing par e-mail hautement personnalisées.
Les e-mails malveillants exploitaient souvent le thème de la pandémie de coronavirus pour inciter au clic sur des liens ou au téléchargement de pièces jointes infectées. Une fois infecté, l'ordinateur propage le malware à tous les systèmes Windows connectés.
NetWalker peut aussi se faire passer pour une application de gestion de mots de passe populaire. L'exécution de cette fausse version chiffre immédiatement les fichiers.
Comme Dharma ou Sodinokibi, NetWalker opère via un modèle de rançongiciel en tant que service (RaaS).
Le RaaS est l'équivalent cybercriminel du SaaS : les développeurs louent leur malware via un abonnement, à des "affiliés" qui le déploient.
En cas de succès, la rançon est partagée, les affiliés recevant typiquement 70 à 80 % des fonds. Ce modèle, récent et très rentable, attire les groupes criminels.
NetWalker recrute activement des affiliés russophones sur les forums du dark web, en priorisant ceux ayant déjà accès à de grands réseaux. Selon McAfee, ils misent sur la qualité plutôt que la quantité, avec des slots limités.
Les premières versions utilisaient des e-mails anonymes pour les contacts. Depuis mars 2020, un système Tor sophistiqué remplace l'e-mail : les victimes téléchargent Tor, soumettent un code unique et accèdent à un chat avec le "support technique".
Le portail imite une interface professionnelle, avec factures détaillant le statut, le montant et le délai (une semaine). Passé ce délai, le prix double ou les données fuient. Le décodeur, unique par victime, est fourni post-paiement.
Chaque victime reçoit une clé personnalisée pour ses fichiers.
Le groupe a frappé universités (Michigan State, Columbia College Chicago, UCSF – qui a payé 1,14 million USD), municipalités (Weiz, Autriche), et établissements de santé (CHUPD Illinois, CNO Ontario, UKD Düsseldorf – causant un décès indirect).
Méfiez-vous des e-mails suspects : survolez les liens pour vérifier l'URL, contactez l'expéditeur par un autre canal pour valider.
Évitez les applications non officielles. Installez un antivirus/malware à jour, appliquez les correctifs logiciels promptly.
Renforcez les accès réseau par mots de passe robustes, MFA et sauvegardes régulières.
Il ne cible pas les particuliers, mais vous pouvez être une porte d'entrée via phishing. Restez vigilant et adoptez ces bonnes pratiques de cybersécurité pour vous protéger efficacement.
[]