Un criminal cibernetic canadian pledează vinovat pentru atacurile „NetWalker” din SUA

Dacă sunteți un Naked Security Pocast ascultător, vă puteți aminti, în martie 2022, că noi vorbea despre un criminal cibernetic condamnat din Canada pe nume Sebastien Vachon-Desjardins.

Din toate punctele de vedere, el a făcut parte din mai multe așa-numite bande Ransomware-as-a-Service (RaaS), cum ar fi REvil și NetWalker, unde atacatorii actuali de ransomware acționează ca „afiliați” pentru creatorii de bază de ransomware, în schimbul predării peste o reducere de 30% asemănătoare cu AppStore sau Google Play din fiecare plată de șantaj pe care o extorcă.

Mai simplu spus, membrii bandei de bază creează mostre de malware, rulează serverele darkweb care se ocupă de „negocierile” cu victimele și colectează plățile pentru extorcare...

… în timp ce afiliații se ocupă de spargerea în rețelele victimelor, de cartografierea lor și de alinierea atacului final în care cât mai multe computere din rețea au datele amestecate în același timp.

„Teoria afacerilor”, dacă o putem numi așa, este că, luând 30% din fiecare atac de succes, criminalii de bază devin într-adevăr extrem de bogați, dar păstrează un profil scăzut departe de lumina reflectoarelor care sparge rețelele.

În același timp, oferind 70% „afiliaților” lor, ei încurajează acei co-conspiratori să facă fiecare atac cât mai debilitant posibil, potențial crescând suma pe care victimele pot fi forțate în cele din urmă să o plătească pentru a-și relua afacerea.

AFLAȚI MAI MULTE DESPRE BUTURILE RECENTE DE MALWARE (PRIMA SECȚIUNE)

Fundalul

Vachon-Desjardins fusese un lucrător al guvernului federal în Regiunea Capitalei Canadei (el vine din Gatineau în Quebec, direct peste râu de capitala federală Ottawa din Ontario).

Se pare că a decis că aderarea la lumea interlopă a criminalității cibernetice ar fi mult mai profitabilă decât slujba lui guvernamentală și se pare că a făcut-o într-adevăr. a castiga o mică avere în câștiguri ilegale...

… până când a fost identificat, arestat și urmărit penal în Canada.

După ce a fost condamnat la aproape șapte ani într-o închisoare canadiană, a fost extrădat în Tampa, Florida, în SUA, pentru a se confrunta cu patru acuzații federale Acolo:

• Conspirație pentru a comite fraudă informatică
• Conspirație pentru a comite fraudă prin cablu
• Deteriorarea intenționată a unui computer protejat
• Transmiterea unei cereri în legătură cu deteriorarea unui computer protejat

Alegerea lui Tampa pentru procesul său a fost pentru că o victimă cunoscută a unuia dintre atacurile sale ransomware „NetWalker” se află acolo.

Vachon-Desjardins a pledat acum vinovat pentru toate cele patru acuzații, cu acord de pledoarie (mulțumesc The Register pentru încărcarea unei copii a actului judiciar) explicând:

NetWalker Ransomware a fost un tip specific de software rău intenționat (malware) care a fost folosit pentru a compromite și a restricționa accesul la rețeaua de computere a victimei în efortul de a extorca o răscumpărare. Conspiratorii au folosit NetWalker nu numai pentru a cripta datele victimelor, dar au folosit și malware-ul pentru a fura date sensibile de la victime. Dacă o victimă nu plătea răscumpărarea, conspiratorii ar refuza să decripteze datele victimei și ar publica online datele sensibile, furate. Datele furate au fost adesea publicate pe un site web întunecat numit „Blogul NetWalker”, care exista cu scopul principal de a facilita publicarea datelor despre victimele furate.

NetWalker a funcționat ca ransomware-as-a-service („RaaS”), cu dezvoltatori și afiliați din Rusia care locuiau în toată lumea. Conform modelului RaaS, dezvoltatorii erau responsabili pentru crearea și actualizarea ransomware-ului și pentru a-l pune la dispoziție afiliaților. Afiliații erau responsabili pentru identificarea și atacarea victimelor de mare valoare cu ajutorul ransomware-ului. După ce o victimă a plătit, dezvoltatorii și afiliații împart răscumpărarea. Sebastien Vachon-Desjardins a fost unul dintre cei mai prolifici afiliați NetWalker Ransomware.

SophosLabs a analizat ransomware-ul NetWalker în detaliu, datorită unui depozit de fișiere recuperat de echipa noastră de răspuns la amenințări în timpul unei investigații privind incidentul ransomware din 2020:

Acordul de pledoarie mai notează că:

În data de 27 și 28 ianuarie 2021 sau în jurul datei de XNUMX și XNUMX ianuarie, Poliția Regală Canadiană a executat mandate de percheziție la domiciliul lui Vachon-Desjardins și în seifurile deținute de Vachon-Desjardins la Banca Națională, Gatineau, Quebec.

În timpul acestor percheziții, oamenii legii au confiscat, printre alte bunuri, toți bitcoinii conținuti în portofelul BTC al inculpatului 3Pxki6pFFKC12YSn8JtDs3ZrEg3pFTHnHd.

Acest bitcoin confiscat a fost derivat în principal din fonduri de răscumpărare plătite de victimele atacurilor NetWalker Ransomware.

Suma confiscată a fost puțin sub 720 BTC, în valoare de aproximativ 23 de milioane de dolari la începutul anului 2021 și în valoare de aproximativ 14 milioane de dolari și astăzi.

Totuși, asta nu a fost tot, în documentul instanței se menționa:

Oamenii de aplicare a legii au identificat și au confiscat copii ale serverului care a funcționat ca server de back-end sau cu vedere intern al NetWalker Tor Panel și NetWalker Blog. Acest server conținea informații tranzacționale detaliate cu privire la dezvoltatorii și afiliații NetWalker. Înregistrările tranzacționale au relevat că în timpul conspirației, aproximativ 100 de afiliați au fost activi, iar victimele plătiseră aproximativ 5058 bitcoin în răscumpărări (un total aproximativ de 40 milioane USD pe baza valorii bitcoin la momentul fiecărei tranzacții).

Aceste înregistrări l-au legat și pe Vachon-Desjardins de extorcarea cu succes a aproximativ 1864 de bitcoini în răscumpărări (un total aproximativ de 21.5 milioane USD pe baza valorii bitcoin la momentul fiecărei tranzacții) de la zeci de companii victime din întreaga lume, inclusiv victimă în Tampa, Florida].

Ce urmează?

Ca Chester Wisniewski pune-l în podcastul din martie 2022:

Sebastien este temporar „împrumutat” americanilor, pentru ca aceștia să-l poată pedepsi, dar când se întoarce, mai trebuie să își înfrunte sentința aici, în Canada.

Doar infracțiunea de fraudă electronică implică o pedeapsă maximă de 20 de ani, dar presupunem că instanța va impune o pedeapsă mai ușoară din cauza semnării acordului de recunoaștere a vinovăției.

Acordul de recunoaștere a vinovăției arată clar că „[inculpatul] pledează vinovat pentru că [el] este de fapt vinovat”.

Și o parte a tranzacției include că „inculpatul este de acord să coopereze pe deplin cu Statele Unite în investigarea și urmărirea penală a altor persoane, […inclusiv] o dezvăluire completă și completă a tuturor informațiilor relevante, inclusiv producerea oricăror și a tuturor cărților, lucrărilor, documentelor și altor obiecte aflate în inculpatul. posesie sau control.”

Cu alte cuvinte, acum se așteaptă ca Vachon-Desjardins să verse boabele și să-și scape foștii prieteni în scena ransomware.

Ce să fac?

Pentru mai multe informații despre lumea urâtă a ransomware-ului, cum funcționează acesta și cum să vă protejați împotriva acestuia, de ce să nu consultați sondajele noastre privind starea ransomware-ului de la 2021 și 2022?

---