Image: Ye Jinghan
Sébastien Vachon-Desjardins, un Canadien inculpé par les États-Unis pour son implication dans les attaques de rançongiciels NetWalker, a été condamné à 6 ans et 8 mois de prison après avoir plaidé coupable devant un juge ontarien à de multiples infractions liées à des attaques contre 17 victimes canadiennes.
Lundi, le le juge a dit que, bien que Desjardins ait coopéré avec les autorités pour aider à identifier les victimes et leurs pertes, il a quand même «joué un rôle dominant, presque exclusif, dans ces infractions», aggravé par un casier judiciaire sans lien avec le trafic de drogue et une peine antérieure de 54 mois d’emprisonnement au Québec .
Le FBI découvre la véritable identité de Desjardins après avoir lié les comptes de messagerie (Microsoft, Gmail et Protonmail) qu’il utilisait pour enregistrer des comptes sur XSS.is et HackForums avec une activité en ligne (recherches et e-mails) avec plusieurs services (MEGA, ExpressVPN, ZoomInfo) qu’il utilisait pour télécharger des fichiers volés sur les réseaux des victimes, cacher son adresse IP réelle et trouver des informations financières sur ses victimes.
Il a également facilité la tâche en partageant des informations personnelles sur des forums publics, notamment qu’il a travaillé comme technicien informatique pour le gouvernement canadien (Travaux publics et Services gouvernementaux Canada) pendant plus de quatre ans.
Des dizaines de millions de pertes
Les attaques auxquelles Desjardins a participé ont entraîné des pertes de millions de dollars après que les victimes se sont fait voler des données sur leurs réseaux et ont été extorquées pour payer des millions de crypto-monnaie en rançon.
« Entre mai 2020 et janvier 2021, la défenderesse a victimisé 17 entités canadiennes et d’autres à travers le monde en violant des réseaux et systèmes informatiques privés, en détournant leurs données, en détenant les données volées contre rançon et en distribuant des données volées lorsque les rançons n’ont pas été payées, » a ajouté le juge.
Le ministère américain de la Justice a déclaré en janvier 2021 que Desjardins aurait obtenu plus de 27,6 millions de dollars après de multiples attaques et tentatives d’extorsion réussies depuis avril 2020, date à laquelle il a pris pour la première fois son nouveau rôle d’affilié de ransomware.
« Le défendeur a admis aux enquêteurs que plus de 1 200 Bitcoins liés à ses activités de logiciels malveillants NetWalker sont passés par son portefeuille électronique et ont été partagés avec ses co-conspirateurs non inculpés et le développeur du rançongiciel NetWalker », a déclaré le juge lundi.
« De plus, le défendeur admet que l’ensemble de ses activités de ransomware impliquait plus de 2000 Bitcoins. Le [Royal Canadian Mounted Police] La GRC a saisi un peu moins de 720 Bitcoins dans les portefeuilles électroniques et les comptes de l’accusé. »
Outre les 719.99591411 BTC saisis dans le portefeuille BTC de Desjardins en janvier 2021, selon un ordonnance restrictive déposée en janvier 2022la police a également saisi 15,725489349111 XMR dans un portefeuille Monero, 299 150 $ CAD à sa résidence et plus de 330 000 $ CAD dans plusieurs coffres de dépôt à la Banque Nationale du Canada détenus à son nom.
Après avoir perquisitionné son domicile, les forces de l’ordre ont également saisi de nombreux appareils contenant environ 20 To de données qui, « si elles étaient imprimées, rempliraient toute une arène de hockey ».
Les sites d’exploitation du rançongiciel Netwalker saisis
Le 27 janvier 2021, lorsque le DOJ américain a accusé Desjardins, les forces de l’ordre des États-Unis et de Bulgarie ont également saisi des sites Web sombres associés à l’opération de rançongiciel Netwalker, y compris leurs sites de paiement Tor et de fuite de données.
La saisie était le résultat d’une enquête conjointe menée par le FBI, le DOJ des États-Unis, le Service national d’enquête bulgare et la Direction générale bulgare de lutte contre le crime organisé.
Netwalker était une opération de Ransomware-as-a-Service (RaaS) qui a fait surface fin 2019, enrôlant des affiliés pour déployer le ransomware en échange d’une part de 60 à 75 % de tous les paiements de rançon.
Cette opération de ransomware a été extrêmement rentable pour tous les acteurs de la menace impliqués, car un rapport d’août 2020 estimait qu’ils avaient collecté 25 millions de dollars auprès des victimes en seulement cinq mois.
Parmi les victimes de haut niveau ciblées par Netwalker au fil des ans figurent le groupe Enel, Equinix, l’Université de Californie à San Francisco (UCSF), l’agence argentine de l’immigration et K-Electric.
Cependant, les affiliés de Netwalker n’ont jamais été pointilleux. Ils ont également attaqué et tenté d’extorquer d’autres organisations privées et publiques, notamment des hôpitaux, des organisations chargées de l’application de la loi, des services d’urgence, des municipalités, des districts scolaires, des collèges et des universités.