Kanadalainen kyberrikollinen myöntää syyllisyytensä "NetWalker"-hyökkäyksiin Yhdysvalloissa

Jos olet Naked Security Pocast kuuntelija, saatat muistaa jo maaliskuussa 2022, että me puhui tuomittu kyberrikollinen Kanadasta nimeltä Sebastien Vachon-Desjardins.

Kaikesta päätellen hän kuului useisiin ns. Ransomware-as-a-Service (RaaS) -ryhmiin, kuten REvil ja NetWalker, joissa todelliset ransomware-hyökkääjät toimivat "tytäryhtiöinä" tärkeimpien kiristysohjelmien luojille vastineeksi luovuttamisesta. yli AppStoren tai Google Playn kaltaisen 30 prosentin leikkauksen jokaisesta kiristysmaksusta, jonka he kiristävät.

Yksinkertaisesti sanottuna jengin ydinjäsenet luovat haittaohjelmanäytteitä, käyttävät darkweb-palvelimia, jotka käsittelevät "neuvotteluja" uhrien kanssa, ja keräävät kiristysmaksut...

…samalla kun tytäryritykset hoitavat murtautumisen uhrien verkkoihin, kartoittavat ne ja järjestävät lopullisen hyökkäyksen, jossa mahdollisimman monta verkon tietokonetta salaa tietonsa samanaikaisesti.

"Business teoria", jos voimme kutsua sitä, on, että ottamalla 30% jokaisesta onnistuneesta hyökkäyksestä, ydinrikollisista tulee todella äärimmäisen varakkaita, mutta he pitävät matalaa profiilia poissa verkkoa murtavista parrasvaloista.

Samanaikaisesti luovuttamalla 70 % "tytäryhtiöilleen" he rohkaisevat näitä salaliittolaisia ​​tekemään jokaisesta hyökkäyksestä mahdollisimman heikentävän, mikä saattaa lisätä uhrien määrää, joka lopulta joutuu maksamaan saadakseen liiketoimintansa uudelleen pyörimään.

LISÄTIETOJA VIIMEAJAISISTA HAITTAOHJELMISTEISTA (ENSIMMÄINEN OSIO)

Tausta

Vachon-Desjardins oli ollut liittovaltion hallituksen työntekijä Kanadan pääkaupunkiseudulla (hän ​​tulee Gatineausta Quebecistä, suoraan joen toisella puolella liittovaltion pääkaupungista Ottawasta Ontariossa).

Hän näyttää päättäneen, että kyberrikollisuuden alamaailmaan liittyminen olisi paljon tuottoisampaa kuin hänen hallituksen työnsä, ja näyttää siltä, ​​​​että todellakin teki kerätä pieni omaisuus laittomissa tuloissa...

…kunnes hänet tunnistettiin, pidätettiin ja hänet asetettiin syytteeseen Kanadassa.

Kun hänet tuomittiin lähes seitsemäksi vuodeksi kanadalaiseen vankilaan, hänet luovutettiin sitten Tampaan, Floridaan, Yhdysvaltoihin. neljä liittovaltion maksua siellä:

• Salaliitto tietokonepetoksen tekemiseksi
• Salaliitto langattomiin petoksiin
• Suojatun tietokoneen tahallinen vahingoittaminen
• Suojatun tietokoneen vahingoittamiseen liittyvän vaatimuksen välittäminen

Tampan valinta hänen oikeudenkäyntiinsä johtui siitä, että siellä asuu erään hänen "NetWalker" lunnasohjelmahyökkäyksensä tunnettu uhri.

Vachon-Desjardins on nyt myöntänyt syyllisyytensä kaikkiin neljään syytteeseen valitusperusteinen sopimus (kiitos The Registerille kopion lähettämisestä oikeudenkäyntiasiakirjasta), jossa selitetään:

NetWalker Ransomware oli tietyntyyppinen haittaohjelma (haittaohjelma), jota käytettiin uhrin tietokoneverkon vaarantamiseen ja pääsyn rajoittamiseen lunnaiden kiristämiseksi. Salaliittolaiset käyttivät NetWalkeria paitsi uhrien tietojen salaamiseen, myös haittaohjelmia varastamaan arkaluontoisia tietoja uhreilta. Jos uhri ei maksa lunnaita, salaliittolaiset kieltäytyivät purkamasta uhrien tietojen salausta ja julkaisivat arkaluontoiset, varastetut tiedot verkossa. Varastetut tiedot julkaistiin usein pimeällä web-sivustolla nimeltä "NetWalker Blog", jonka ensisijaisena tarkoituksena oli helpottaa varastettujen uhrien tietojen julkaisemista.

NetWalker toimi ransomware-as-a-service-palveluna ("RaaS"), johon osallistui Venäjällä toimivia kehittäjiä ja tytäryhtiöitä, jotka asuivat kaikkialla maailmassa. RaaS-mallissa kehittäjät olivat vastuussa kiristysohjelmien luomisesta ja päivittämisestä sekä sen saattamisesta tytäryhtiöiden saataville. Tytäryhtiöt olivat vastuussa arvokkaiden uhrien tunnistamisesta ja hyökkäämisestä kiristysohjelman avulla. Kun uhri maksoi, kehittäjät ja tytäryhtiöt jakavat lunnaat. Sebastien Vachon-Desjardins oli yksi tuotteliaimmista NetWalker Ransomwaren tytäryhtiöistä.

SophosLabs on analysoinut NetWalkerin kiristysohjelman yksityiskohtaisesti tiedostovaraston ansiosta uhkavalvontatiimimme taltioi ransomware-tapahtuman tutkinnan aikana vuonna 2020:

Sopimuksessa todetaan myös, että:

Noin 27. ja 28. tammikuuta 2021 Kanadan kuninkaallinen ratsupoliisi toteutti etsintämääräyksen Vachon-Desjardinsin kotona ja Vachon-Desjardinsin hallussa pitämissä tallelokeroissa National Bankissa, Gatineaussa, Quebecissa.

Näiden etsintöjen aikana lainvalvontaviranomaiset takavarikoivat muun omaisuuden lisäksi kaiken vastaajan BTC-lompakko 3Pxki6pFFKC12YSn8JtDs3ZrEg3pFTHnHd sisältämän bitcoinin.

Tämä takavarikoitu bitcoin oli peräisin pääasiassa NetWalker Ransomware -hyökkäysten uhrien maksamista lunnaista.

Takavarikoitu määrä oli hieman alle BTC 720, arvo noin 23 miljoonaa dollaria vuoden 2021 alussa ja edelleen noin 14 miljoonaa dollaria tänään.

Se ei kuitenkaan ollut kaikki, sillä oikeuden asiakirjassa todettiin:

Lainvalvontaviranomaiset tunnistivat ja takavarikoivat kopiot palvelimesta, joka toimi NetWalker Tor -paneelin ja NetWalker Blogin taustapalvelimena tai sisäisenä palvelimena. Tämä palvelin sisälsi yksityiskohtaisia ​​tietoja NetWalkerin kehittäjistä ja tytäryhtiöistä. Tapahtumarekisterit paljastivat, että salaliiton aikana noin 100 tytäryhtiötä oli ollut aktiivinen ja uhrit olivat maksaneet noin 5058 bitcoinia lunnaina (yhteensä noin 40 miljoonaa dollaria bitcoinin arvon perusteella kunkin tapahtuman aikana).

Nämä tietueet myös sidoivat Vachon-Desjardinsin onnistuneeseen noin 1864 bitcoinin lunnaiden kiristykseen (yhteensä noin 21.5 miljoonaa dollaria bitcoinin arvon perusteella kunkin tapahtuman aikana) kymmeniltä uhriyrityksiltä ympäri maailmaa, mukaan lukien [ uhri Tampassa, Floridassa].

Mitä seuraavaksi?

Kuten Chester Wisniewski laita se maaliskuussa 2022 podcastissa:

Sebastien on väliaikaisesti "lainalla" amerikkalaisille, jotta he voivat rangaista häntä, mutta kun hän palaa, hänen on silti kohdattava tuomionsa täällä Kanadassa.

Pelkästään verkkopetosrikoksesta tuomitaan enintään 20 vuoden vankeusrangaistus, mutta oletamme, että tuomioistuin määrää lievemmän tuomion allekirjoitetun kannesopimuksen vuoksi.

Sopimus tekee sen selväksi "[Syytetty] tunnustaa syyllisyytensä, koska [hän] on itse asiassa syyllinen."

Ja osa sopimuksesta sisältää sen "vastaaja suostuu tekemään täysimääräistä yhteistyötä Yhdysvaltojen kanssa muiden henkilöiden tutkinnassa ja syytteeseenpanossa, […mukaan lukien] kaikkien asiaankuuluvien tietojen täydellinen ja täydellinen paljastaminen, mukaan lukien kaikkien kirjojen, papereiden, asiakirjojen ja muiden vastaajassa olevien esineiden tuottaminen hallussapito tai hallinta."

Toisin sanoen Vachon-Desjardinsin odotetaan nyt levittävän pavut ja rottaavan entiset ystävänsä kiristyshaittaohjelmasta.

Mitä tehdä?

Jos haluat lisätietoa kiristyshaittaohjelmien rumasta maailmasta, sen toiminnasta ja suojautumisesta niiltä, ​​tutustu ransomware-tilakyselyihimme 2021 ja 2022?

---