20 ans de prison pour un cybercriminel roumain impliqué dans les attaques NetWalker : un coup dur pour le cybercrime

Daniel Christian Hulea, un Roumain de 39 ans, vient d’écoper d’une lourde peine de 20 ans d’emprisonnement pour son rôle dans les attaques par ransomware NetWalker. Arrêté en juillet 2023 à Cluj par la police roumaine suite à une demande des autorités américaines, il a plaidé coupable de fraude informatique et de complot en juin dernier.

L’affaire met en lumière l’ampleur dévastatrice des attaques NetWalker, un groupe cybercriminel particulièrement actif depuis 2019. Selon les documents judiciaires, Hulea a reconnu avoir participé à une vaste campagne de cyberattaques ciblant des centaines de victimes à travers le monde : hôpitaux, services de police, services d’urgence, entreprises, municipalités, établissements scolaires et universités.

« Les attaques NetWalker ont été particulièrement cyniques pendant la crise du COVID-19, ciblant délibérément les organisations de santé pour maximiser leurs chances d’obtenir une rançon », précise le département de la Justice américain.

Le butin est colossal : Hulea a admis avoir extorqué environ 1 595 bitcoins à ses victimes, soit l’équivalent de 21,5 millions de dollars au moment des faits. Pour donner une idée de l’échelle, cette somme représenterait aujourd’hui plus de 65 millions de dollars. En plus de sa peine de prison, il devra restituer près de 15 millions de dollars et abandonner des biens acquis avec l’argent des rançons, notamment une société indonésienne et un complexe hôtelier de luxe en construction à Bali.

NetWalker fonctionnait selon le modèle RaaS (Ransomware-as-a-Service), une « franchise criminelle » où les développeurs du malware recrutaient des affiliés pour mener les attaques en échange de 60 à 75% des rançons. Cette organisation a rapporté pas moins de 25 millions de dollars en seulement cinq mois d’activité en 2020.

Le mode opératoire était implacable : les cybercriminels s’infiltraient dans les systèmes informatiques, volaient les données sensibles puis chiffraient l’ensemble des fichiers. Les victimes devaient alors payer des rançons allant de plusieurs centaines de milliers à des millions de dollars pour récupérer leurs données et éviter leur publication en ligne.

Cette condamnation s’inscrit dans une série d’actions judiciaires contre le groupe NetWalker. En octobre 2022, un autre affilié majeur, le Canadien Sebastien Vachon-Desjardins, avait également écopé de 20 ans de prison pour des attaques ayant visé de nombreuses entreprises américaines et canadiennes.

Un rebondissement récent inquiète toutefois les experts en cybersécurité : des chercheurs ont découvert en février 2024 des liens troublants entre le code du ransomware Alpha et celui de NetWalker, suggérant soit une réutilisation du code par d’autres groupes criminels, soit une résurgence de NetWalker sous une nouvelle identité.