Mat Hayward - stock.adobe.com

Ransomware : NetWalker, Egregor, deux disparitions dans la même journée ?

Le site Web du premier semble saisi par le FBI. Celui des opérateurs du second a été affecté par de multiples indisponibilités au cours des dernières semaines. Aujourd’hui, son interface de dialogue avec ses victimes est inaccessible.

[Mise à jour le 2 février @ 10h00] Le site d'Egregor est de nouveau accessible ; il apparaît désormais hébergé en Russie. L'hébergeur précédent avait fait l'objet de pressions Twitter, notamment.  

[Article original] Coup de tonnerre sur le monde de la cybercriminalité. Le site Web du groupe opérant le ransomware NetWalker n’est plus. À la place de son habituelle litanie de victimes, un message : « ce site caché a été saisi par le FBI, dans le cadre d’une action coordonnée des forces de l’ordre contre le ransomware NetWalker ». Et de mentionner celles de Bulgarie.

Nous avions compté 156 victimes revendiquées par NetWalker en 2020 et 23 depuis le début du mois de janvier. Selon nos décomptes, nous estimons qu'environ 29 % des victimes des opérateurs de ce ransomware ont cédé à ses efforts d’extorsion. Le nombre total de victime pourrait donc s'établir autour de 250.

L’infrastructure du groupe pilotant le rançongiciel Egregor vient-elle de tomber ? C’est du moins l’impression qu’elle donne. Depuis plusieurs semaines, le site Web où était étalée la liste des victimes résistant à l’extorsion souffrait d’indisponibilités répétées. Mais il réapparaissait régulièrement. Mi-janvier, comme le relevait Zataz, le site était de retour avec la mention « malgré vos espoirs, nous sommes à nouveau avec vous ».

Ces allées et venues n’ont pas manqué d’alimenter certaines interrogations sur divers forums russophones. Certains ont ainsi exprimé leur perplexité face à des archives de données volées anciennes, mais redéposées sur le site et protégées par mot de passe, à l’instar de celle relative à la cyberattaque contre Randstad. Et un autre habitué de l’un ces forums de relever au passage que les « nouvelles archives sans mot de passe contiennent des données, mais sans intérêt ni valeur ».

Aperçu de l'activité d'Egregor en 2020.

Surtout, selon nos sources, le site Web utilisé par les opérateurs d’Egregor pour dialoguer avec leurs victimes n’a jamais été affecté par les soucis techniques ayant touché la vitrine. Il est resté parfaitement opérationnel à chaque fois. Mais aujourd’hui, selon nos propres observations, ce n’est plus le cas : impossible, pour la moindre victime de solliciter les cyberdélinquants aux commandes du ransomware.

Aperçu de l'activité de NetWalker en 2020.

Ces deux événements constituent au moins une troublante coïncidence le jour où Europol annonce avoir fait tomber Emotet. Car ce dernier a notamment été observé dans la chaîne d’attaque impliquant Qakbot et conduisant à la détonation du ransomware Egregor. Récemment, ce dernier a rencontré des « problèmes techniques » à répétition, avec son site vitrine où il exposait ses victimes ayant résisté à ses tentatives d’extorsion. Mais le site de « support » utilisé pour échanger avec les victimes était systématiquement resté actif. Ce qui n’est plus le cas aujourd’hui.

Ce qu'affiche désormais le site de NetWalker.

Nous avons posé la question à Europol. Son service de presse nous a poliment répondu ne pas vouloir se prononcer sur ce point, tout en soulignant que des opérations liées au coup porté à Emotet étaient encore en cours.

Pour approfondir sur Menaces, Ransomwares, DDoS