يقر مجرم الإنترنت الكندي بأنه مذنب في هجمات "NetWalker" في الولايات المتحدة

إذا كنت عارية الأمن Pocast المستمع ، قد تتذكر ، في مارس 2022 ، أننا تحدث عن مجرم إلكتروني مدان من كندا باسم سيباستيان فاشون ديجاردان.

بكل المقاييس ، كان جزءًا من العديد من عصابات Ransomware-as-a-Service (RaaS) ، مثل REvil و NetWalker ، حيث يعمل مهاجمو برامج الفدية الفعلية كـ "جهات تابعة" لمنشئي برامج الفدية الأساسية ، مقابل تسليمها عبر متجر يشبه AppStore أو Google Play مثل 30٪ من كل دفعة ابتزاز يبتزونها.

ببساطة ، يقوم أعضاء العصابة الأساسية بإنشاء عينات البرامج الضارة ، وتشغيل خوادم الويب المظلم التي تتعامل مع "المفاوضات" مع الضحايا ، وجمع مدفوعات الابتزاز ...

... بينما تتعامل الشركات التابعة مع اقتحام شبكات الضحايا ، ورسم خرائط لها ، واصطفاف الهجوم النهائي الذي يتم فيه تجميع بيانات أكبر عدد ممكن من أجهزة الكمبيوتر على الشبكة في نفس الوقت.

إن "نظرية الأعمال" ، إذا أمكننا تسميتها ، هي أنه من خلال أخذ 30٪ من كل هجوم ناجح ، يصبح المجرمون الأساسيون أثرياء للغاية بالفعل ، لكنهم يبقون بعيدًا عن الأضواء التي تتسبب في اختراق الشبكات.

في الوقت نفسه ، من خلال تسليم 70٪ إلى "الشركات التابعة لهم" ، فإنهم يشجعون هؤلاء المتآمرين على جعل كل هجوم منهكًا قدر الإمكان ، مما قد يزيد من المبلغ الذي يمكن للضحايا دفعه في النهاية لإعادة تشغيل أعمالهم مرة أخرى.

تعرف على المزيد حول حافلات البرامج الضارة الحديثة (القسم الأول)

الخلفية

كان Vachon-Desjardins موظفًا في الحكومة الفيدرالية في منطقة العاصمة الكندية (يأتي من جاتينو في كيبيك ، مباشرة عبر النهر من العاصمة الفيدرالية أوتاوا في أونتاريو).

يبدو أنه قرر أن الانضمام إلى عالم الجريمة السيبرانية سيكون مربحًا أكثر بكثير من وظيفته الحكومية ، ويبدو أنه فعل ذلك بالفعل رف ثروة صغيرة من الأرباح غير المشروعة ...

... حتى تم التعرف عليه واعتقاله ومحاكمته في كندا.

بعد أن حكم عليه بالسجن ما يقرب من سبع سنوات في سجن كندي ، تم تسليمه بعد ذلك إلى تامبا ، فلوريدا في الولايات المتحدة ، لمواجهة أربع تهم اتحادية هناك:

• مؤامرة لارتكاب الاحتيال على الكمبيوتر
• مؤامرة لارتكاب الاحتيال على الأسلاك
• الإضرار المتعمد بجهاز كمبيوتر محمي
• إرسال طلب يتعلق بإتلاف جهاز كمبيوتر محمي

كان اختيار تامبا لمحاكمته بسبب وجود ضحية معروفة لهجمات برنامج الفدية "NetWalker" هناك.

أقر فاشون ديجاردان الآن بالذنب في جميع التهم الأربع ، مع اتفاق نداء (شكرا للسجل لتحميل نسخة من وثيقة المحكمة) موضحا:

كان NetWalker Ransomware نوعًا معينًا من البرامج الضارة (البرامج الضارة) التي تم استخدامها للتنازل عن شبكة الكمبيوتر الخاصة بالضحية وتقييد الوصول إليها في محاولة لابتزاز فدية. استخدم المتآمرون NetWalker ليس فقط لتشفير بيانات الضحايا ، ولكن استخدموا أيضًا البرامج الضارة لسرقة البيانات الحساسة من الضحايا. إذا لم تدفع الضحية الفدية ، فسيرفض المتآمرون فك تشفير بيانات الضحية وسيقومون بنشر البيانات الحساسة والمسروقة على الإنترنت. غالبًا ما تم نشر البيانات المسروقة على موقع ويب مظلم يسمى "مدونة NetWalker" ، والذي كان موجودًا لغرض أساسي هو تسهيل نشر بيانات الضحية المسروقة.

تم تشغيل NetWalker كبرنامج الفدية كخدمة ("RaaS") ، ويضم مطورين وشركاء تابعين من روسيا يقيمون في جميع أنحاء العالم. بموجب نموذج RaaS ، كان المطورون مسؤولين عن إنشاء وتحديث برنامج الفدية وإتاحته للشركات التابعة. كانت الشركات التابعة مسؤولة عن تحديد ومهاجمة الضحايا ذوي القيمة العالية باستخدام برنامج الفدية. بعد أن تدفع الضحية ، يقوم المطورون والشركات التابعة بتقسيم الفدية. كان Sebastien Vachon-Desjardins أحد أكثر الشركات التابعة لـ NetWalker Ransomware إنتاجًا.

قامت SophosLabs بتحليل برنامج الفدية NetWalker بالتفصيل ، وذلك بفضل مجموعة من الملفات تعافى من قبل فريق الاستجابة للتهديدات لدينا أثناء التحقيق في حادث برنامج الفدية في عام 2020:

كما يشير اتفاق الإقرار بالذنب إلى ما يلي:

في 27 و 28 كانون الثاني (يناير) 2021 أو نحو ذلك ، نفذت شرطة الخيالة الكندية الملكية أوامر تفتيش في منزل فاشون ديجاردان وفي صناديق الودائع الآمنة التي يحتفظ بها فاشون ديجاردان في البنك الوطني ، جاتينو ، كيبيك.

خلال عمليات البحث هذه ، صادرت سلطات إنفاذ القانون ، من بين أصول أخرى ، جميع عملات البيتكوين الموجودة في محفظة BTC للمدعى عليه 3Pxki6pFFKC12YSn8JtDs3ZrEg3pFTHnHd.

تم اشتقاق عملة البيتكوين المصادرة بشكل أساسي من أموال الفدية التي دفعها ضحايا هجمات NetWalker Ransomware.

كان المبلغ الذي تم ضبطه أقل بقليل من 720 BTC ، وقيمته حوالي 23 مليون دولار أمريكي في أوائل عام 2021 ، ولا يزال يساوي حوالي 14 مليون دولار أمريكي اليوم.

ومع ذلك ، لم يكن هذا كل شيء مع وثيقة المحكمة التي تنص على:

حددت جهات إنفاذ القانون نسخًا من الخادم وصادرتها والتي كانت تعمل كخادم خلفي أو خادم داخلي للوحة NetWalker Tor و NetWalker Blog. احتوى هذا الخادم على معلومات تفصيلية عن المعاملات لمطوري NetWalker والشركات التابعة لها. كشفت سجلات المعاملات أنه خلال فترة المؤامرة ، كان ما يقرب من 100 شركة تابعة نشطة ، ودفع الضحايا ما يقرب من 5058 بيتكوين في صورة فدية (إجمالي تقريبي يبلغ 40 مليون دولار أمريكي على أساس قيمة البيتكوين في وقت كل معاملة).

ربطت هذه السجلات أيضًا Vachon-Desjardins بالابتزاز الناجح لما يقرب من 1864 bitcoin في صورة فدية (إجمالي تقريبي يبلغ 21.5 مليون دولار أمريكي بناءً على قيمة Bitcoin في وقت كل معاملة) من عشرات الشركات الضحية في جميع أنحاء العالم ، بما في ذلك [the ضحية في تامبا ، فلوريدا].

ماذا بعد؟

مثل تشيستر Wisniewski وضعه في بودكاست مارس 2022:

سيباستيان "معار" مؤقتًا للأمريكيين ، حتى يتمكنوا من معاقبته ، ولكن عندما يعود ، لا يزال يتعين عليه مواجهة عقوبته هنا في كندا.

جريمة الاحتيال البرقي وحدها تحمل عقوبة قصوى تصل إلى 20 عامًا ، لكننا نفترض أن المحكمة ستفرض عقوبة أخف بسبب صفقة الإقرار بالذنب التي يتم توقيعها.

اتفاق الإقرار بالذنب يوضح ذلك "[المدعى عليه] يقر بالذنب لأنه في الحقيقة مذنب."

وجزء من الصفقة يشمل أن "يوافق المدعى عليه على التعاون الكامل مع الولايات المتحدة في التحقيق ومقاضاة الأشخاص الآخرين ، [... بما في ذلك] الكشف الكامل والكامل عن جميع المعلومات ذات الصلة ، بما في ذلك إنتاج أي وجميع الكتب والأوراق والوثائق والأشياء الأخرى في المدعى عليه الحيازة أو السيطرة ".

بعبارة أخرى ، من المتوقع الآن أن ينسكب Vachon-Desjardins الفاصوليا ويخرج أصدقاءه السابقين في مشهد برامج الفدية.

ماذا ستفعلين.. إذًا؟

لمزيد من المعلومات حول العالم القبيح لبرامج الفدية الضارة ، وكيفية عملها ، وكيفية حماية نفسك منها ، لماذا لا تحقق من استطلاعات حالة برامج الفدية لدينا من 2021 و 2022?

---