Kanadyjski cyberprzestępca przyznaje się do ataków „NetWalker” w USA

Jeśli jesteś Naga Bezpieczeństwo Pocast słuchacz, może pamiętasz, w marcu 2022, że my mówił o tym skazany cyberprzestępca z Kanady o nazwisku Sebastien Vachon-Desjardins.

Według wszystkich relacji, był częścią kilku tak zwanych gangów Ransomware-as-a-Service (RaaS), takich jak REvil i NetWalker, gdzie rzeczywiści atakujący ransomware działają jako „powiązani” z głównymi twórcami oprogramowania ransomware, w zamian za przekazanie w porównaniu z podobnym do AppStore lub Google Play 30% obniżką każdej wymuszanej przez nich płatności szantażowej.

Mówiąc najprościej, członkowie głównego gangu tworzą próbki złośliwego oprogramowania, uruchamiają serwery darkweb, które zajmują się „negocjacjami” z ofiarami i zbierają płatności za wymuszenia…

…podczas gdy podmioty stowarzyszone zajmują się włamywaniem do sieci ofiar, mapowaniem ich i przygotowywaniem ostatecznego ataku, w którym jak najwięcej komputerów w sieci ma jednocześnie zaszyfrowane dane.

„Teoria biznesowa”, jeśli możemy ją tak nazwać, polega na tym, że biorąc 30% każdego udanego ataku, najważniejsi przestępcy rzeczywiście stają się niezwykle bogaci, ale trzymają się z dala od światła reflektorów łamania sieci.

Jednocześnie, przekazując 70% swoich „powiązanych”, zachęcają tych współspiskowców, aby każdy atak był jak najbardziej wyniszczający, potencjalnie zwiększając kwotę, którą ofiary mogą ostatecznie wcisnąć, aby ponownie uruchomić swój biznes.

DOWIEDZ SIĘ WIĘCEJ O NAJNOWSZYCH USZKODZENIACH ZŁOŚLIWEGO OPROGRAMOWANIA (PIERWSZA CZĘŚĆ)

Tło

Vachon-Desjardins był pracownikiem rządu federalnego w kanadyjskim regionie stołecznym (pochodzi z Gatineau w Quebecu, bezpośrednio po drugiej stronie rzeki od stolicy federalnej Ottawy w Ontario).

Wydaje się, że zdecydował, że dołączenie do cyberprzestępczego podziemia byłoby znacznie bardziej lukratywne niż jego praca w rządzie, i wydaje się, że rzeczywiście rozwalić się małą fortunę w nielegalnych zarobkach…

…dopóki nie został zidentyfikowany, aresztowany i postawiony w stan oskarżenia w Kanadzie.

Po skazaniu na prawie siedem lat w kanadyjskim więzieniu, został następnie poddany ekstradycji do Tampy na Florydzie w USA, aby stawić czoła cztery opłaty federalne tam:

• Spisek w celu popełnienia oszustwa komputerowego
• Spisek w celu popełnienia oszustwa w sieci
• Celowe uszkodzenie chronionego komputera
• Przesyłanie żądania w związku z uszkodzeniem chronionego komputera

Wybór Tampy na jego proces był spowodowany tym, że znajduje się tam znana ofiara jednego z jego ataków ransomware „NetWalker”.

Vachon-Desjardins przyznał się do wszystkich czterech zarzutów: umowa w sprawie zarzutów (dzięki The Register za przesłanie kopii pisma sądowego) wyjaśniającego:

NetWalker Ransomware było specyficznym rodzajem złośliwego oprogramowania (malware), które zostało użyte do złamania zabezpieczeń i ograniczenia dostępu do sieci komputerowej ofiary w celu wyłudzenia okupu. Konspiratorzy wykorzystywali NetWalker nie tylko do szyfrowania danych ofiar, ale także wykorzystywali to złośliwe oprogramowanie do kradzieży poufnych danych ofiar. Jeśli ofiara nie zapłaciła okupu, konspiratorzy odmówiliby odszyfrowania danych ofiary i opublikowali poufne, skradzione dane w Internecie. Skradzione dane były często publikowane na ciemnej stronie internetowej o nazwie „NetWalker Blog”, która istniała głównie w celu ułatwienia publikacji skradzionych danych ofiar.

NetWalker działał jako ransomware-as-a-service („RaaS”), obejmujący deweloperów i podmioty stowarzyszone z Rosji, którzy mieszkali na całym świecie. W modelu RaaS programiści byli odpowiedzialni za tworzenie i aktualizowanie oprogramowania ransomware oraz udostępnianie go podmiotom stowarzyszonym. Partnerzy byli odpowiedzialni za identyfikowanie i atakowanie ofiar o wysokiej wartości za pomocą oprogramowania ransomware. Po zapłaceniu przez ofiarę programiści i partnerzy podzielili się okupem. Sebastien Vachon-Desjardins był jednym z najbardziej płodnych partnerów NetWalker Ransomware.

SophosLabs szczegółowo przeanalizował oprogramowanie ransomware NetWalker dzięki skrytce plików odzyskane przez nasz zespół reagowania na zagrożenia podczas dochodzenia w sprawie incydentu związanego z oprogramowaniem ransomware w 2020 r.:

W zarzucie zauważono również, że:

Około 27 i 28 stycznia 2021 r. Królewska kanadyjska policja konna wykonała nakazy przeszukania w domu Vachon-Desjardins i w sejfach przechowywanych przez Vachon-Desjardins w National Bank, Gatineau, Quebec.

Podczas tych przeszukań organy ścigania skonfiskowały między innymi wszystkie bitcoiny zawarte w portfelu BTC pozwanego 3Pxki6pFFKC12YSn8JtDs3ZrEg3pFTHnHd.

Ten przejęty bitcoin pochodził głównie z funduszy okupu zapłaconych przez ofiary ataków NetWalker Ransomware.

Skonfiskowana kwota wynosiła nieco poniżej 720 BTC, o wartości około 23 mln USD na początku 2021 r., a dziś nadal jest warta około 14 mln USD.

To jednak nie wszystko, ponieważ dokument sądowy stwierdzał:

Organy ścigania zidentyfikowały i przejęły kopie serwera, który funkcjonował jako serwer zaplecza lub serwer skierowany do wewnątrz NetWalker Tor Panel i NetWalker Blog. Serwer ten zawierał szczegółowe informacje transakcyjne dotyczące programistów i podmiotów stowarzyszonych NetWalker. Zapisy transakcyjne ujawniły, że w trakcie spisku działało około 100 podmiotów stowarzyszonych, a ofiary zapłaciły około 5058 bitcoinów w postaci okupu (w przybliżeniu 40 milionów USD w oparciu o wartość bitcoinów w momencie każdej transakcji).

Te zapisy powiązały również Vachon-Desjardins z udanym wyłudzeniem około 1864 bitcoinów w postaci okupów (w przybliżeniu 21.5 miliona USD w oparciu o wartość bitcoinów w momencie każdej transakcji) od dziesiątek ofiar firm na całym świecie, w tym ofiara w Tampa na Florydzie].

Co następne?

Jako Chester Wiśniewski połóż to w podcaście z marca 2022:

Sebastien jest tymczasowo „wypożyczony” Amerykanom, więc mogą go ukarać, ale kiedy wróci, nadal czeka go wyrok w Kanadzie.

Samo przestępstwo oszustwa związanego z telewizją może skutkować maksymalnym wyrokiem 20 lat, ale zakładamy, że sąd nałoży lżejszy wyrok z powodu podpisania ugody.

Umowa zarzutu jasno stwierdza, że „[oskarżony] przyznaje się do winy, ponieważ w rzeczywistości jest winny”.

Częścią umowy jest to, że „oskarżony zgadza się w pełni współpracować ze Stanami Zjednoczonymi w dochodzeniu i ściganiu innych osób, […w tym] pełnego i całkowitego ujawnienia wszystkich istotnych informacji, w tym przedłożenia wszelkich książek, dokumentów, dokumentów i innych przedmiotów znajdujących się w posiadaniu pozwanego posiadanie lub kontrola.”

Innymi słowy, oczekuje się, że Vachon-Desjardins wyjdzie na jaw i wyrzuci swoich dawnych kumpli na scenie ransomware.

Co robić?

Aby uzyskać więcej informacji na temat brzydkiego świata oprogramowania ransomware, jego działania i ochrony przed nim, sprawdź nasze ankiety dotyczące stanu oprogramowania ransomware dostępne na stronie 2021 i 2022?

---