Καναδός κυβερνοεγκληματίας παραδέχεται την ενοχή του για επιθέσεις «NetWalker» στις ΗΠΑ

Αν είστε ένας Γυμνό Pocast ασφαλείας ακροατή, ίσως θυμάστε, τον Μάρτιο του 2022, ότι εμείς μίλησε για ένας καταδικασμένος κυβερνοεγκληματίας από τον Καναδά με το όνομα Sebastien Vachon-Desjardins.

Κατά γενική ομολογία, ήταν μέρος πολλών συμμοριών των λεγόμενων Ransomware-as-a-Service (RaaS), όπως οι REvil και NetWalker, όπου οι πραγματικοί εισβολείς ransomware ενεργούν ως «συνεργάτες» για τους βασικούς δημιουργούς ransomware, σε αντάλλαγμα για την παράδοση πάνω από μια μείωση 30% που μοιάζει με το AppStore ή το Google Play σε κάθε πληρωμή εκβιασμού που εκβιάζουν.

Με απλά λόγια, τα βασικά μέλη της συμμορίας δημιουργούν τα δείγματα κακόβουλου λογισμικού, εκτελούν τους διακομιστές darkweb που χειρίζονται τις «διαπραγματεύσεις» με τα θύματα και εισπράττουν τις πληρωμές εκβιασμού…

…ενώ οι συνεργάτες χειρίζονται την εισβολή στα δίκτυα των θυμάτων, τη χαρτογράφηση τους και την ευθυγράμμιση της τελικής επίθεσης κατά την οποία όσο το δυνατόν περισσότεροι υπολογιστές στο δίκτυο έχουν κρυπτογραφήσει τα δεδομένα τους ταυτόχρονα.

Η «επιχειρηματική θεωρία», αν μπορούμε να την ονομάσουμε έτσι, είναι ότι με το 30% κάθε επιτυχημένης επίθεσης, οι βασικοί εγκληματίες γίνονται πραγματικά εξαιρετικά πλούσιοι, αλλά κρατούν ένα χαμηλό προφίλ μακριά από τα φώτα της δημοσιότητας που σπάζουν το δίκτυο.

Ταυτόχρονα, παραδίδοντας το 70% στους «συνεργάτες» τους, ενθαρρύνουν αυτούς τους συν-συνωμότες να κάνουν κάθε επίθεση όσο το δυνατόν πιο εξουθενωτική, αυξάνοντας ενδεχομένως το ποσό που μπορούν τελικά να πληρώσουν τα θύματα για να ξαναλειτουργήσει η επιχείρησή τους.

ΜΑΘΕΤΕ ΠΕΡΙΣΣΟΤΕΡΑ ΣΧΕΤΙΚΑ ΜΕ ΤΙΣ ΠΡΟΣΦΑΤΕΣ ΚΑΚΟΒΟΥΛΕΣ (ΠΡΩΤΗ ΕΝΟΤΗΤΑ)

Το φόντο

Ο Vachon-Desjardins ήταν υπάλληλος της ομοσπονδιακής κυβέρνησης στην περιφέρεια της καναδικής πρωτεύουσας (κατάγεται από το Gatineau στο Κεμπέκ, ακριβώς απέναντι από τον ποταμό από την ομοσπονδιακή πρωτεύουσα Οτάβα στο Οντάριο).

Φαίνεται ότι αποφάσισε ότι η ένταξή του στον υπόκοσμο του εγκλήματος στον κυβερνοχώρο θα ήταν πολύ πιο προσοδοφόρα από την κυβερνητική του δουλειά, και φαίνεται ότι το έκανε πράγματι ράφι επάνω μια μικρή περιουσία σε παράνομες απολαβές…

…μέχρι που αναγνωρίστηκε, συνελήφθη και διώχθηκε στον Καναδά.

Αφού καταδικάστηκε σε σχεδόν επτά χρόνια σε μια καναδική φυλακή, στη συνέχεια εκδόθηκε στην Τάμπα της Φλόριντα στις ΗΠΑ για να αντιμετωπίσει τέσσερις ομοσπονδιακές κατηγορίες εκεί:

• Συνωμοσία για τη διάπραξη απάτης στον υπολογιστή
• Συνωμοσία για διάπραξη απάτης ενσύρματο
• Σκόπιμη βλάβη σε προστατευμένο υπολογιστή
• Μετάδοση απαίτησης σε σχέση με βλάβη σε προστατευμένο υπολογιστή

Η επιλογή του Τάμπα για τη δίκη του ήταν επειδή ένα γνωστό θύμα μιας από τις επιθέσεις ransomware του «NetWalker» εδρεύει εκεί.

Ο Vachon-Desjardins ομολόγησε τώρα ένοχος και για τις τέσσερις κατηγορίες, με το συμφωνία περί λόγου (ευχαριστώ το The Register για τη μεταφόρτωση ενός αντιγράφου του δικαστικού εγγράφου) εξηγώντας:

Το NetWalker Ransomware ήταν ένας συγκεκριμένος τύπος κακόβουλου λογισμικού (κακόβουλο λογισμικό) που χρησιμοποιήθηκε για να παραβιάσει και να περιορίσει την πρόσβαση στο δίκτυο υπολογιστών ενός θύματος σε μια προσπάθεια εκβίασης λύτρων. Οι συνωμότες χρησιμοποίησαν το NetWalker όχι μόνο για να κρυπτογραφήσουν τα δεδομένα των θυμάτων, αλλά χρησιμοποίησαν επίσης το κακόβουλο λογισμικό για να κλέψουν ευαίσθητα δεδομένα από τα θύματα. Εάν ένα θύμα δεν πλήρωνε τα λύτρα, οι συνωμότες θα αρνούνταν να αποκρυπτογραφήσουν τα δεδομένα του θύματος και θα δημοσίευαν τα ευαίσθητα, κλεμμένα δεδομένα στο διαδίκτυο. Τα κλεμμένα δεδομένα δημοσιεύονταν συχνά σε έναν σκοτεινό ιστότοπο με το όνομα «το NetWalker Blog», το οποίο υπήρχε για τον πρωταρχικό σκοπό της διευκόλυνσης της δημοσίευσης των δεδομένων των κλεμμένων θυμάτων.

Το NetWalker λειτουργούσε ως ransomware-as-a-service ("RaaS"), με προγραμματιστές και θυγατρικές με έδρα τη Ρωσία που διέμεναν σε όλο τον κόσμο. Σύμφωνα με το μοντέλο RaaS, οι προγραμματιστές ήταν υπεύθυνοι για τη δημιουργία και την ενημέρωση του ransomware και τη διάθεση του σε θυγατρικές εταιρείες. Οι συνεργάτες ήταν υπεύθυνοι για τον εντοπισμό και την επίθεση σε θύματα υψηλής αξίας με το ransomware. Αφού πλήρωσε ένα θύμα, οι προγραμματιστές και οι θυγατρικές μοιράστηκαν τα λύτρα. Ο Sebastien Vachon-Desjardins ήταν ένας από τους πιο παραγωγικούς συνεργάτες του NetWalker Ransomware.

Η SophosLabs ανέλυσε λεπτομερώς το ransomware του NetWalker, χάρη σε μια συλλογή αρχείων ανακτήθηκε από την ομάδα μας απόκρισης απειλών κατά τη διάρκεια μιας έρευνας περιστατικού ransomware το 2020:

Η συμφωνία ακυρώσεως επισημαίνει επίσης ότι:

Στις 27 και 28 Ιανουαρίου 2021 ή περίπου, η Βασιλική Καναδική Έφιππη Αστυνομία εκτέλεσε εντάλματα έρευνας στο σπίτι του Vachon-Desjardins και σε χρηματοκιβώτια που κρατούσε ο Vachon-Desjardins στην National Bank, Gatineau, Κεμπέκ.

Κατά τη διάρκεια αυτών των ερευνών, οι αρχές επιβολής του νόμου κατέσχεσαν, μεταξύ άλλων περιουσιακών στοιχείων, όλα τα bitcoin που περιέχονταν στο πορτοφόλι BTC 3Pxki6pFFKC12YSn8JtDs3ZrEg3pFTHnHd του κατηγορουμένου.

Αυτό το κατασχεθέν bitcoin προήλθε κυρίως από κεφάλαια λύτρων που καταβλήθηκαν από θύματα επιθέσεων NetWalker Ransomware.

Το ποσό που κατασχέθηκε ήταν λίγο κάτω από το BTC 720, αξίας περίπου 23 εκατομμυρίων δολαρίων στις αρχές του 2021 και εξακολουθεί να αξίζει περίπου 14 εκατομμύρια δολάρια σήμερα.

Δεν ήταν μόνο αυτό, ωστόσο, με το δικαστικό έγγραφο που αναφέρει:

Οι αρχές επιβολής του νόμου εντόπισαν και κατέσχεσαν αντίγραφα του διακομιστή που λειτουργούσε ως ο διακομιστής υποστήριξης ή ο εσωτερικός διακομιστής του NetWalker Tor Panel και του NetWalker Blog. Αυτός ο διακομιστής περιείχε λεπτομερείς πληροφορίες συναλλαγών σχετικά με τους προγραμματιστές και τις θυγατρικές του NetWalker. Τα αρχεία συναλλαγών αποκάλυψαν ότι κατά τη διάρκεια της συνωμοσίας, περίπου 100 θυγατρικές είχαν ενεργήσει και τα θύματα είχαν πληρώσει περίπου 5058 bitcoin ως λύτρα (ένα σύνολο περίπου 40 εκατομμυρίων δολαρίων ΗΠΑ με βάση την αξία του bitcoin τη στιγμή της κάθε συναλλαγής).

Αυτά τα αρχεία συνέδεσαν επίσης τη Vachon-Desjardins με την επιτυχή εκβίαση περίπου 1864 bitcoin σε λύτρα (συνολικά περίπου 21.5 εκατομμύρια δολάρια ΗΠΑ με βάση την αξία του bitcoin τη στιγμή της κάθε συναλλαγής) από δεκάδες θύματα εταιρείες σε όλο τον κόσμο, συμπεριλαμβανομένων [των θύμα στην Τάμπα της Φλόριντα].

Ποιο είναι το επόμενο?

Ως Chester Wisniewski βάλε το στο podcast Μαρτίου 2022:

Ο Σεμπαστιέν είναι προσωρινά «δανεικός» στους Αμερικανούς, ώστε να τον τιμωρήσουν, αλλά όταν επιστρέψει, πρέπει να αντιμετωπίσει την ποινή του εδώ στον Καναδά.

Το αδίκημα της απάτης μέσω συρμάτων από μόνο του επιφέρει μέγιστη ποινή 20 ετών, αλλά υποθέτουμε ότι το δικαστήριο θα επιβάλει ελαφρύτερη ποινή λόγω της υπογραφής της συμφωνίας ένστασης.

Η συμφωνία ένστασης το καθιστά σαφές «[ο] κατηγορούμενος παραδέχεται την ενοχή του επειδή [είναι] στην πραγματικότητα ένοχος».

Και μέρος της συμφωνίας περιλαμβάνει ότι το «Ο κατηγορούμενος συμφωνεί να συνεργαστεί πλήρως με τις Ηνωμένες Πολιτείες στην έρευνα και τη δίωξη άλλων προσώπων, […συμπεριλαμβανομένης] μιας πλήρους και πλήρους αποκάλυψης όλων των σχετικών πληροφοριών, συμπεριλαμβανομένης της παραγωγής οποιουδήποτε και όλων των βιβλίων, εγγράφων, εγγράφων και άλλων αντικειμένων του κατηγορουμένου κατοχή ή έλεγχος».

Με άλλα λόγια, ο Vachon-Desjardins αναμένεται τώρα να χυθεί τα φασόλια και να εξοντώσει τους πρώην φίλους του στη σκηνή του ransomware.

Τι να κάνω;

Για περισσότερες πληροφορίες σχετικά με τον άσχημο κόσμο του ransomware, πώς λειτουργεί και πώς να προστατεύσετε τον εαυτό σας από αυτό, ελέγξτε τις έρευνες κατάστασης του Ransomware από 2021 και 2022?

---