Un cybercriminel canadien plaide coupable aux attaques « NetWalker » aux États-Unis

Si vous êtes un Pocast de sécurité nu auditeur, vous vous souvenez peut-être, en mars 2022, que nous a parlé un cybercriminel canadien condamné du nom de Sébastien Vachon-Desjardins.

Au dire de tous, il faisait partie de plusieurs gangs dits Ransomware-as-a-Service (RaaS), tels que REvil et NetWalker, où les véritables attaquants du ransomware agissent en tant qu '«affiliés» pour les principaux créateurs de ransomware, en échange de la remise sur une réduction de 30% de type AppStore ou Google Play sur chaque paiement de chantage qu'ils extorquent.

En termes simples, les membres principaux du gang créent les échantillons de logiciels malveillants, exécutent les serveurs darkweb qui gèrent les «négociations» avec les victimes et collectent les paiements d'extorsion…

… tandis que les affiliés s'occupent de s'introduire dans les réseaux des victimes, de les cartographier et d'aligner l'attaque finale dans laquelle autant d'ordinateurs du réseau que possible voient leurs données brouillées en même temps.

La « théorie des affaires », si nous pouvons l'appeler ainsi, est qu'en prenant 30 % de chaque attaque réussie, les principaux criminels deviennent effectivement extrêmement riches, mais gardent un profil bas loin des feux de la rampe de piratage du réseau.

Dans le même temps, en remettant 70 % à leurs « affiliés », ils encouragent ces co-conspirateurs à rendre chaque attaque aussi débilitante que possible, augmentant potentiellement le montant que les victimes peuvent finalement être obligées de payer pour relancer leur entreprise.

EN SAVOIR PLUS SUR LES RECHERCHES RÉCENTES DE LOGICIELS MALVEILLANTS (PREMIÈRE SECTION)

L'arrière-plan

Vachon-Desjardins avait été un employé du gouvernement fédéral dans la région de la capitale canadienne (il vient de Gatineau au Québec, juste en face de la capitale fédérale Ottawa en Ontario).

Il semble avoir décidé que rejoindre la pègre de la cybercriminalité serait beaucoup plus lucratif que son travail au gouvernement, et il semble que ce soit effectivement le cas. accumuler une petite fortune en gains illégaux…

… jusqu'à ce qu'il soit identifié, arrêté et poursuivi au Canada.

Après avoir été condamné à près de sept ans dans une prison canadienne, il a ensuite été extradé à Tampa, en Floride aux États-Unis, pour faire face quatre accusations fédérales Là:

• Complot en vue de commettre une fraude informatique
• Complot en vue de commettre une fraude électronique
• Dommages intentionnels à un ordinateur protégé
• Transmission d'une demande relative à l'endommagement d'un ordinateur protégé

Le choix de Tampa pour son procès était dû au fait qu'une victime connue de l'une de ses attaques de rançongiciel "NetWalker" y est basée.

Vachon-Desjardins a maintenant plaidé coupable aux quatre chefs d'accusation, accord du tribunal (merci à The Register d'avoir téléchargé une copie du document judiciaire) expliquant :

Le NetWalker Ransomware était un type spécifique de logiciel malveillant (malware) qui était utilisé pour compromettre et restreindre l'accès au réseau informatique d'une victime dans le but d'extorquer une rançon. Les conspirateurs ont utilisé NetWalker non seulement pour crypter les données des victimes, mais aussi pour voler les données sensibles des victimes. Si une victime ne payait pas la rançon, les conspirateurs refuseraient de déchiffrer les données de la victime et publieraient en ligne les données sensibles et volées. Les données volées étaient souvent publiées sur un site Web sombre appelé "le blog NetWalker", qui existait dans le but principal de faciliter la publication des données des victimes volées.

NetWalker fonctionnait comme un rançongiciel en tant que service («RaaS»), mettant en vedette des développeurs et des affiliés basés en Russie qui résidaient dans le monde entier. Dans le cadre du modèle RaaS, les développeurs étaient chargés de créer et de mettre à jour le ransomware et de le mettre à la disposition des affiliés. Les affiliés étaient chargés d'identifier et d'attaquer les victimes de grande valeur avec le ransomware. Après qu'une victime ait payé, les développeurs et les affiliés se partagent la rançon. Sébastien Vachon-Desjardins était l'un des affiliés les plus prolifiques de NetWalker Ransomware.

Les SophosLabs ont analysé en détail le rançongiciel NetWalker, grâce à une réserve de fichiers récupérés par notre équipe de réponse aux menaces lors d'une enquête sur un incident de ransomware en 2020 :

L'accord de plaidoyer note également que:

Les 27 et 28 janvier 2021 ou vers ces dates, la Gendarmerie royale du Canada a exécuté des mandats de perquisition au domicile de Vachon-Desjardins et dans des coffres-forts détenus par Vachon-Desjardins à la Banque Nationale, Gatineau, Québec.

Au cours de ces perquisitions, les forces de l'ordre ont saisi, entre autres actifs, tous les bitcoins contenus dans le portefeuille BTC 3Pxki6pFFKC12YSn8JtDs3ZrEg3pFTHnHd du prévenu.

Ce bitcoin saisi provenait principalement des fonds de rançon payés par les victimes des attaques de NetWalker Ransomware.

Le montant saisi était d'un peu moins de 720 BTC, d'une valeur d'environ 23 millions de dollars américains au début de 2021, et vaut encore environ 14 millions de dollars américains aujourd'hui.

Ce n'était pas tout, cependant, avec le document du tribunal indiquant:

Les forces de l'ordre ont identifié et saisi des copies du serveur qui fonctionnait comme serveur principal ou serveur interne du panneau NetWalker Tor et du blog NetWalker. Ce serveur contenait des informations transactionnelles détaillées sur les développeurs et les affiliés de NetWalker. Les dossiers transactionnels ont révélé qu'au cours du complot, environ 100 affiliés avaient été actifs et que les victimes avaient payé environ 5058 bitcoins en rançons (un total approximatif de 40 millions de dollars américains basé sur la valeur du bitcoin au moment de chaque transaction).

Ces dossiers ont également lié Vachon-Desjardins à l'extorsion réussie d'environ 1864 21.5 bitcoins sous forme de rançons (un total approximatif de XNUMX millions de dollars américains selon la valeur des bitcoins au moment de chaque transaction) auprès de dizaines d'entreprises victimes à travers le monde, y compris [the victime à Tampa, Floride].

Et ensuite?

Comme Chester Wisniewski le mettre dans le podcast de mars 2022 :

Sébastien est temporairement « prêté » aux Américains, afin qu'ils puissent le punir, mais quand il revient, il doit encore faire face à sa peine ici au Canada.

L'infraction de fraude électronique à elle seule est passible d'une peine maximale de 20 ans, mais nous supposons que le tribunal imposera une peine plus légère en raison de la signature de l'accord de plaidoyer.

L'accord de plaidoyer indique clairement que "[l]'accusé plaide coupable parce qu'[il] est en fait coupable."

Et une partie de l'accord comprend que le "Le défendeur s'engage à coopérer pleinement avec les États-Unis dans l'enquête et la poursuite d'autres personnes, [… y compris] une divulgation pleine et entière de toutes les informations pertinentes, y compris la production de tous les livres, papiers, documents et autres objets en possession du défendeur possession ou contrôle ».

En d'autres termes, on s'attend maintenant à ce que Vachon-Desjardins répande la mèche et dénonce ses anciens copains de la scène des rançongiciels.

Que faire?

Pour plus d'informations sur le monde laid des ransomwares, comment cela fonctionne et comment vous en protéger, pourquoi ne pas consulter nos enquêtes sur l'état des ransomwares de 2021 ainsi que 2022?

---