Penjahat dunia maya Kanada mengaku bersalah atas serangan "NetWalker" di AS

Jika Anda seorang Pocast Keamanan Telanjang pendengar, Anda mungkin ingat, pada bulan Maret 2022, bahwa kami berbicara tentang terpidana cybercriminal dari Kanada dengan nama Sebastien Vachon-Desjardins.

Bagaimanapun, ia adalah bagian dari beberapa yang disebut geng Ransomware-as-a-Service (RaaS), seperti REvil dan NetWalker, di mana penyerang ransomware sebenarnya bertindak sebagai "afiliasi" untuk pembuat ransomware inti, sebagai imbalan atas penyerahan atas potongan 30% seperti AppStore atau Google Play dari setiap pembayaran pemerasan yang mereka peras.

Sederhananya, anggota geng inti membuat sampel malware, menjalankan server darkweb yang menangani “negosiasi” dengan korban, dan mengumpulkan pembayaran pemerasan…

…sementara afiliasi menangani pembobolan jaringan korban, memetakannya, dan menyusun serangan terakhir di mana sebanyak mungkin komputer di jaringan memiliki data mereka yang diacak pada saat yang bersamaan.

“Teori bisnis”, jika kita dapat menyebutnya demikian, adalah bahwa dengan mengambil 30% dari setiap serangan yang berhasil, para penjahat inti memang menjadi sangat kaya, tetapi tetap tidak menonjolkan diri dari pusat perhatian yang meretas jaringan.

Pada saat yang sama, dengan memberikan 70% kepada “afiliasi” mereka, mereka mendorong para konspirator tersebut untuk membuat setiap serangan selemah mungkin, berpotensi meningkatkan jumlah korban yang pada akhirnya dapat diperas untuk membayar agar bisnis mereka berjalan kembali.

PELAJARI LEBIH LANJUT TENTANG MALWARE BUST TERBARU (BAGIAN PERTAMA)

Latar belakang

Vachon-Desjardins pernah menjadi pegawai pemerintah federal di Wilayah Ibu Kota Kanada (dia berasal dari Gatineau di Quebec, tepat di seberang sungai dari ibu kota federal Ottawa di Ontario).

Dia tampaknya telah memutuskan bahwa bergabung dengan dunia kejahatan dunia maya akan jauh lebih menguntungkan daripada pekerjaan pemerintahnya, dan tampaknya memang demikian. rak kekayaan kecil dalam penghasilan ilegal ...

…sampai dia diidentifikasi, ditangkap dan diadili di Kanada.

Setelah dijatuhi hukuman hampir tujuh tahun di penjara Kanada, ia kemudian diekstradisi ke Tampa, Florida di AS, untuk menghadapi empat biaya federal di sana:

• Konspirasi untuk Melakukan Penipuan Komputer
• Konspirasi untuk Melakukan Penipuan Kawat
• Kerusakan yang Disengaja pada Komputer yang Dilindungi
• Mengirimkan Permintaan Terkait dengan Merusak Komputer yang Dilindungi

Pilihan Tampa untuk persidangannya adalah karena korban yang diketahui dari salah satu serangan ransomware “NetWalker”-nya berbasis di sana.

Vachon-Desjardins kini telah mengaku bersalah atas keempat dakwaan, dengan perjanjian pembelaan (terima kasih kepada The Register karena mengunggah salinan dokumen pengadilan) menjelaskan:

NetWalker Ransomware adalah jenis perangkat lunak berbahaya (malware) tertentu yang digunakan untuk berkompromi dan membatasi akses ke jaringan komputer korban dalam upaya memeras uang tebusan. Konspirator menggunakan NetWalker tidak hanya untuk mengenkripsi data korban, tetapi juga menggunakan malware untuk mencuri data sensitif dari korban. Jika korban tidak membayar uang tebusan, konspirator akan menolak untuk mendekripsi data korban dan akan mempublikasikan data sensitif yang dicuri secara online. Data yang dicuri sering dipublikasikan di situs web gelap bernama "Blog NetWalker," yang ada untuk tujuan utama memfasilitasi publikasi data korban yang dicuri.

NetWalker beroperasi sebagai ransomware-as-a-service (“RaaS”), menampilkan pengembang dan afiliasi yang berbasis di Rusia yang tinggal di seluruh dunia. Di bawah model RaaS, pengembang bertanggung jawab untuk membuat dan memperbarui ransomware, dan membuatnya tersedia untuk afiliasi. Afiliasi bertanggung jawab untuk mengidentifikasi dan menyerang korban bernilai tinggi dengan ransomware. Setelah korban membayar, pengembang dan afiliasi membagi uang tebusan. Sebastien Vachon-Desjardins adalah salah satu afiliasi NetWalker Ransomware yang paling produktif.

SophosLabs telah menganalisis ransomware NetWalker secara detail, berkat tumpukan file dipulihkan oleh tim respons ancaman kami selama penyelidikan insiden ransomware pada tahun 2020:

Kesepakatan pembelaan juga mencatat bahwa:

Pada atau sekitar 27 dan 28 Januari 2021, Royal Canadian Mounted Police mengeksekusi surat perintah penggeledahan di rumah Vachon-Desjardins dan di brankas yang dipegang oleh Vachon-Desjardins di National Bank, Gatineau, Quebec.

Selama penggeledahan ini, penegak hukum menyita, di antara aset lainnya, semua bitcoin yang terkandung dalam Dompet BTC 3Pxki6pFFKC12YSn8JtDs3ZrEg3pFTHnHd milik terdakwa.

Bitcoin yang disita ini terutama berasal dari dana tebusan yang dibayarkan oleh korban serangan NetWalker Ransomware.

Jumlah yang disita hanya di bawah BTC 720, bernilai sekitar US$23 juta pada awal 2021, dan masih bernilai sekitar US$14 juta hari ini.

Itu tidak semua, bagaimanapun, dengan dokumen pengadilan yang menyatakan:

Penegakan hukum mengidentifikasi dan menyita salinan server yang beroperasi sebagai server backend, atau internal, dari Panel Tor NetWalker dan Blog NetWalker. Server ini berisi informasi transaksi rinci untuk pengembang dan afiliasi NetWalker. Catatan transaksi mengungkapkan bahwa selama konspirasi, sekitar 100 afiliasi telah aktif, dan korban telah membayar sekitar 5058 bitcoin sebagai tebusan (total perkiraan US$40 juta berdasarkan nilai bitcoin pada saat setiap transaksi).

Catatan ini juga mengikat Vachon-Desjardins dengan pemerasan yang berhasil sekitar 1864 bitcoin sebagai tebusan (total perkiraan US$21.5 juta berdasarkan nilai bitcoin pada saat setiap transaksi) dari lusinan perusahaan korban di seluruh dunia, termasuk [the korban di Tampa, Florida].

Apa selanjutnya?

Sebagai Chester Wisniewski letakkan di podcast Maret 2022:

Sebastien untuk sementara "dipinjamkan" ke Amerika, sehingga mereka dapat menghukumnya, tetapi ketika dia kembali, dia masih harus menghadapi hukumannya di sini di Kanada.

Pelanggaran penipuan kawat saja membawa hukuman maksimal 20 tahun, tapi kami berasumsi bahwa pengadilan akan menjatuhkan hukuman yang lebih ringan karena kesepakatan pembelaan ditandatangani.

Perjanjian pembelaan memperjelas bahwa “[terdakwa] mengaku bersalah karena [dia] sebenarnya bersalah.”

Dan bagian dari kesepakatan itu termasuk bahwa “terdakwa setuju untuk bekerja sama sepenuhnya dengan Amerika Serikat dalam penyelidikan dan penuntutan orang lain, [...termasuk] pengungkapan penuh dan lengkap dari semua informasi yang relevan, termasuk produksi setiap dan semua buku, kertas, dokumen, dan objek lain di tangan terdakwa. kepemilikan atau kendali.”

Dengan kata lain, Vachon-Desjardins sekarang diharapkan untuk membocorkan rahasia, dan mengadu domba mantan temannya di kancah ransomware.

Apa yang harus dilakukan?

Untuk wawasan lebih lanjut tentang dunia ransomware yang buruk, cara kerjanya, dan cara melindungi diri Anda darinya, lihat survei State of Ransomware kami dari 2021 dan 2022?

---