Canadisk cyberkriminel erkender sig skyldig i "NetWalker"-angreb i USA

Hvis du er en Nøgen sikkerhed Pocast lytter, husker du måske tilbage i marts 2022, at vi talte om en dømt cyberkriminel fra Canada ved navn Sebastien Vachon-Desjardins.

Efter alt at dømme var han en del af flere såkaldte Ransomware-as-a-Service (RaaS)-bander, såsom REvil og NetWalker, hvor de faktiske ransomware-angribere fungerer som "affiliates" for de centrale ransomware-skabere, til gengæld for udlevering. over en AppStore-lignende eller Google Play-lignende 30 % reduktion af hver afpresningsbetaling, de afpresser.

Kort sagt opretter kernebandemedlemmerne malware-prøverne, kører darkweb-serverne, der håndterer "forhandlingerne" med ofrene, og indsamler afpresningsbetalingerne...

…mens tilknyttede selskaber håndterer at bryde ind i ofrenes netværk, kortlægge dem og opstille det sidste angreb, hvor så mange computere på netværket som muligt får deres data forvrænget på samme tid.

"Forretningsteorien", hvis vi kan kalde det det, er, at ved at tage 30% af hvert succesfuldt angreb, bliver de kernekriminelle faktisk ekstremt velhavende, men holder en lav profil væk fra netværksknækkende rampelys.

Samtidig opfordrer de ved at aflevere 70 % til deres "tilknyttede selskaber" disse medsammensvorne til at gøre hvert angreb så invaliderende som muligt, hvilket potentielt øger det beløb, som ofrene i sidste ende kan blive presset til at betale for at få deres virksomhed til at køre igen.

LÆS MERE OM SENESTE MALWARE-BUSTER (FØRSTE AFSNIT)

Baggrunden

Vachon-Desjardins havde været en føderal regeringsarbejder i den canadiske hovedstadsregion (han kommer fra Gatineau i Quebec, direkte på den anden side af floden fra den føderale hovedstad Ottawa i Ontario).

Han ser ud til at have besluttet, at det ville være meget mere lukrativt at slutte sig til cyberkriminalitetens underverden end hans regeringsjob, og det ser det ud til, at det gjorde. rack op en mindre formue i ulovlig indtjening...

…indtil han blev identificeret, arresteret og retsforfulgt i Canada.

Efter at være blevet dømt til næsten syv år i et canadisk fængsel, blev han derefter udleveret til Tampa, Florida i USA, for at møde fire føderale anklager der:

• Sammensværgelse for at begå computersvindel
• Konspiration for at begå svindel
• Forsætlig skade på en beskyttet computer
• Overførsel af et krav i forbindelse med beskadigelse af en beskyttet computer

Valget af Tampa til hans retssag var, fordi et kendt offer for et af hans "NetWalker" ransomware-angreb er baseret der.

Vachon-Desjardins har nu erkendt sig skyldig i alle fire anklager klageaftale (tak til The Register for upload af en kopi af retsdokumentet) forklarer:

NetWalker Ransomware var en specifik type ondsindet software (malware), der blev brugt til at kompromittere og begrænse adgangen til et offers computernetværk i et forsøg på at afpresse en løsesum. Sammensvorne brugte NetWalker ikke kun til at kryptere offerdata, men brugte også malware til at stjæle følsomme data fra ofre. Hvis et offer ikke betalte løsesummen, ville konspiratorer nægte at dekryptere offerdata og ville offentliggøre de følsomme, stjålne data online. De stjålne data blev ofte offentliggjort på et mørkt websted ved navn "NetWalker Blog", som eksisterede med det primære formål at lette offentliggørelsen af ​​stjålne offerdata.

NetWalker fungerede som ransomware-as-a-service ("RaaS"), med russisk-baserede udviklere og tilknyttede selskaber, som var bosat over hele verden. Under RaaS-modellen var udviklere ansvarlige for at skabe og opdatere ransomwaren og gøre den tilgængelig for tilknyttede selskaber. Tilknyttede selskaber var ansvarlige for at identificere og angribe ofre af høj værdi med ransomware. Efter at et offer havde betalt, delte udviklere og tilknyttede selskaber løsesummen. Sebastien Vachon-Desjardins var en af ​​de mest produktive NetWalker Ransomware-tilknyttede virksomheder.

SophosLabs har analyseret NetWalker ransomware i detaljer, takket være en masse filer gendannet af vores trusselsreaktionsteam under en undersøgelse af ransomware-hændelser i 2020:

Aftalen bemærker også, at:

Den 27. og 28. januar 2021 udførte Royal Canadian Mounted Police ransagningsordrer i Vachon-Desjardins' hjem og på pengeskabe hos Vachon-Desjardins i National Bank, Gatineau, Quebec.

Under disse ransagninger beslaglagde retshåndhævere, blandt andre aktiver, alle bitcoin indeholdt i tiltaltes BTC Wallet 3Pxki6pFFKC12YSn8JtDs3ZrEg3pFTHnHd.

Denne beslaglagte bitcoin stammede primært fra løsesum betalt af ofre for NetWalker Ransomware-angreb.

Det beslaglagte beløb var lige under BTC 720, til en værdi af omkring US$23 millioner i begyndelsen af ​​2021, og stadig omkring US$14 millioner værd i dag.

Det var dog ikke alt, da retsdokumentet siger:

Retshåndhævende myndigheder identificerede og beslaglagde kopier af serveren, der fungerede som backend-serveren eller internt vendt server for NetWalker Tor Panel og NetWalker Blog. Denne server indeholdt detaljerede transaktionsoplysninger om NetWalker-udviklerne og tilknyttede selskaber. Transaktionsregistrene afslørede, at i løbet af sammensværgelsen havde cirka 100 tilknyttede selskaber været aktive, og ofrene havde betalt cirka 5058 bitcoin i løsepenge (et omtrentligt samlet beløb på 40 millioner USD baseret på værdien af ​​bitcoin på tidspunktet for hver transaktion).

Disse optegnelser bandt også Vachon-Desjardins til den vellykkede afpresning af cirka 1864 bitcoin i løsesum (et omtrentligt samlet beløb på US$21.5 millioner baseret på værdien af ​​bitcoin på tidspunktet for hver transaktion) fra snesevis af ofrevirksomheder over hele verden, herunder [ offer i Tampa, Florida].

Hvad er det næste?

Som Chester Wisniewski Læg det i marts 2022-podcasten:

Sebastien er midlertidigt "udlånt" til amerikanerne, så de kan straffe ham, men når han kommer tilbage, skal han stadig stå for sin dom her i Canada.

Alene forbrydelsen af ​​wire svindel har en maksimal straf på 20 år, men vi antager, at retten vil idømme en mildere straf på grund af underskrivelsen af ​​klageaftalen.

Aftalen gør det klart "[den] tiltalte erkender sig skyldig, fordi [han] faktisk er skyldig."

Og en del af aftalen inkluderer, at "tiltalte indvilliger i at samarbejde fuldt ud med USA i efterforskningen og retsforfølgningen af ​​andre personer, [...herunder] en fuldstændig og fuldstændig offentliggørelse af alle relevante oplysninger, herunder fremstilling af enhver og alle bøger, papirer, dokumenter og andre genstande i tiltaltes besiddelse eller kontrol.”

Med andre ord forventes det nu, at Vachon-Desjardins spilder bønnerne og slår sine tidligere kammerater ud i ransomware-scenen.

Hvad skal jeg gøre?

For yderligere indsigt i den grimme verden af ​​ransomware, hvordan det virker, og hvordan du beskytter dig selv mod det, hvorfor så ikke tjekke vores State of Ransomware-undersøgelser fra 2021 , 2022?

---