Kanadischer Cyberkrimineller bekennt sich schuldig an „NetWalker“-Angriffen in den USA

Wenn Sie ein Nackter Sicherheits-Pocast Zuhörer, Sie erinnern sich vielleicht, damals im März 2022, dass wir sprach über ein verurteilter Cyberkrimineller aus Kanada namens Sebastien Vachon-Desjardins.

Allen Berichten zufolge war er Teil mehrerer sogenannter Ransomware-as-a-Service (RaaS)-Gangs wie REvil und NetWalker, bei denen die eigentlichen Ransomware-Angreifer als „Partner“ für die zentralen Ransomware-Ersteller fungieren, als Gegenleistung für die Übergabe über eine AppStore-ähnliche oder Google Play-ähnliche 30%ige Kürzung jeder Erpressungszahlung, die sie erpressen.

Einfach ausgedrückt, die Mitglieder der Kernbande erstellen die Malware-Samples, betreiben die Darkweb-Server, die die „Verhandlungen“ mit den Opfern abwickeln, und kassieren die Erpressungszahlungen …

…während die Partner sich darum kümmern, in die Netzwerke der Opfer einzudringen, sie zu kartieren und den letzten Angriff vorzubereiten, bei dem so viele Computer im Netzwerk wie möglich ihre Daten gleichzeitig verschlüsseln.

Die „Business-Theorie“, wenn wir es so nennen können, besagt, dass die Kernkriminellen, wenn sie 30 % jedes erfolgreichen Angriffs übernehmen, tatsächlich extrem reich werden, sich aber vom Rampenlicht der Netzwerkknacker zurückhalten.

Gleichzeitig ermutigen sie diese Mitverschwörer, indem sie 70 % an ihre „Tochtergesellschaften“ übergeben, jeden Angriff so schwächend wie möglich zu gestalten, was möglicherweise den Betrag erhöht, den die Opfer letztendlich zahlen müssen, um ihr Geschäft wieder zum Laufen zu bringen.

ERFAHREN SIE MEHR ÜBER DIE AKTUELLEN MALWARE-BUSTS (ERSTER ABSCHNITT)

Der Hintergrund

Vachon-Desjardins war Angestellter der Bundesregierung in der kanadischen Hauptstadtregion (er stammt aus Gatineau in Quebec, direkt gegenüber der Bundeshauptstadt Ottawa in Ontario).

Er scheint entschieden zu haben, dass es viel lukrativer wäre, sich der Unterwelt der Cyberkriminalität anzuschließen, als sein Job in der Regierung, und das scheint tatsächlich so zu sein Rack auf ein kleines Vermögen an illegalen Einnahmen…

…bis er in Kanada identifiziert, festgenommen und strafrechtlich verfolgt wurde.

Nachdem er zu fast sieben Jahren Haft in einem kanadischen Gefängnis verurteilt worden war, wurde er anschließend nach Tampa, Florida in die USA ausgeliefert, um sich zu stellen vier Bundesgebühren Dort:

• Verschwörung zum Computerbetrug
• Verschwörung zum Begehen von Drahtbetrug
• Vorsätzliche Beschädigung eines geschützten Computers
• Übermittlung einer Forderung in Bezug auf die Beschädigung eines geschützten Computers

Die Wahl von Tampa für seinen Prozess war, weil dort ein bekanntes Opfer eines seiner „NetWalker“-Ransomware-Angriffe ansässig ist.

Vachon-Desjardins hat sich nun in allen vier Anklagepunkten schuldig bekannt Übereinkommen (Dank an The Register für das Hochladen einer Kopie des Gerichtsdokuments), in dem Folgendes erklärt wird:

Die NetWalker Ransomware war eine bestimmte Art von bösartiger Software (Malware), die verwendet wurde, um den Zugriff auf das Computernetzwerk eines Opfers zu kompromittieren und einzuschränken, um ein Lösegeld zu erpressen. Verschwörer verwendeten NetWalker nicht nur, um Opferdaten zu verschlüsseln, sondern verwendeten die Malware auch, um sensible Daten von Opfern zu stehlen. Wenn ein Opfer das Lösegeld nicht zahlte, weigerten sich Verschwörer, die Opferdaten zu entschlüsseln, und veröffentlichten die sensiblen, gestohlenen Daten online. Die gestohlenen Daten wurden oft auf einer Dark-Web-Website namens „NetWalker Blog“ veröffentlicht, die hauptsächlich dazu diente, die Veröffentlichung gestohlener Opferdaten zu erleichtern.

NetWalker wurde als Ransomware-as-a-Service („RaaS“) betrieben, mit in Russland ansässigen Entwicklern und verbundenen Unternehmen, die auf der ganzen Welt ansässig sind. Beim RaaS-Modell waren die Entwickler dafür verantwortlich, die Ransomware zu erstellen und zu aktualisieren und sie Affiliates zur Verfügung zu stellen. Partner waren dafür verantwortlich, hochwertige Opfer mit der Ransomware zu identifizieren und anzugreifen. Nachdem ein Opfer bezahlt hatte, teilten Entwickler und Partner das Lösegeld auf. Sebastien Vachon-Desjardins war einer der produktivsten Partner von NetWalker Ransomware.

Die SophosLabs haben die NetWalker-Ransomware dank eines Stapels von Dateien im Detail analysiert von unserem Threat Response Team wiederhergestellt während einer Untersuchung eines Ransomware-Vorfalls im Jahr 2020:

Der Plädoyer-Deal stellt auch fest, dass:

Am oder um den 27. und 28. Januar 2021 vollstreckte die Royal Canadian Mounted Police Durchsuchungsbefehle im Haus von Vachon-Desjardins und in Schließfächern von Vachon-Desjardins in der National Bank, Gatineau, Quebec.

Während dieser Durchsuchungen beschlagnahmten die Strafverfolgungsbehörden unter anderem alle Bitcoins, die in der BTC-Wallet 3Pxki6pFFKC12YSn8JtDs3ZrEg3pFTHnHd des Angeklagten enthalten waren.

Diese beschlagnahmten Bitcoins stammten hauptsächlich aus Lösegeldgeldern, die von Opfern von NetWalker Ransomware-Angriffen gezahlt wurden.

Der beschlagnahmte Betrag belief sich auf knapp 720 BTC, was Anfang 23 einen Wert von etwa 2021 Millionen US-Dollar hatte und heute noch etwa 14 Millionen US-Dollar wert ist.

Das war jedoch noch nicht alles, denn in dem Gerichtsdokument heißt es:

Die Strafverfolgungsbehörden identifizierten und beschlagnahmten Kopien des Servers, der als Backend oder nach innen gerichteter Server des NetWalker Tor-Panels und des NetWalker-Blogs fungierte. Dieser Server enthielt detaillierte Transaktionsinformationen zu den NetWalker-Entwicklern und -Partnern. Die Transaktionsaufzeichnungen zeigten, dass im Verlauf der Verschwörung ungefähr 100 verbundene Unternehmen aktiv waren und die Opfer ungefähr 5058 Bitcoin als Lösegeld gezahlt hatten (eine ungefähre Gesamtsumme von 40 Millionen US-Dollar, basierend auf dem Wert von Bitcoin zum Zeitpunkt jeder Transaktion).

Diese Aufzeichnungen brachten Vachon-Desjardins auch mit der erfolgreichen Erpressung von etwa 1864 Bitcoin als Lösegeld (insgesamt etwa 21.5 Millionen US-Dollar, basierend auf dem Wert von Bitcoin zum Zeitpunkt jeder Transaktion) von Dutzenden von Opferunternehmen auf der ganzen Welt in Verbindung, darunter [the Opfer in Tampa, Florida].

Was als nächstes?

Als Chester Wisniewski Leg es im März 2022 Podcast:

Sebastien ist vorübergehend an die Amerikaner „ausgeliehen“, damit sie ihn bestrafen können, aber wenn er zurückkommt, muss er immer noch seine Strafe hier in Kanada absitzen.

Allein der Drahtbetrugsdelikt sieht eine Höchststrafe von 20 Jahren vor, wir gehen jedoch davon aus, dass das Gericht aufgrund der Unterzeichnung des Plädoyers eine mildere Strafe verhängen wird.

Das geht aus dem Plädoyervertrag hervor „[der] Angeklagte bekennt sich schuldig, weil [er] tatsächlich schuldig ist.“

Und ein Teil des Deals beinhaltet, dass die „Der Beklagte erklärt sich bereit, bei der Untersuchung und Strafverfolgung anderer Personen uneingeschränkt mit den Vereinigten Staaten zusammenzuarbeiten, [… einschließlich] einer vollständigen und vollständigen Offenlegung aller relevanten Informationen, einschließlich der Herausgabe aller Bücher, Papiere, Dokumente und anderer Gegenstände im Besitz des Beklagten Besitz oder Kontrolle.“

Mit anderen Worten, von Vachon-Desjardins wird jetzt erwartet, dass er die Bohnen ausplaudert und seine ehemaligen Kumpel in der Ransomware-Szene verpetzt.

Was ist zu tun?

Weitere Einblicke in die hässliche Welt der Ransomware, wie sie funktioniert und wie Sie sich davor schützen können, finden Sie in unseren Umfragen zum Stand von Ransomware 2021 und 2022?

---