อาชญากรไซเบอร์ชาวแคนาดาสารภาพการโจมตี “NetWalker” ในสหรัฐอเมริกา

หากคุณเป็น Pocast การรักษาความปลอดภัยเปลือยเปล่า ท่านผู้ฟัง ท่านคงจำได้ เมื่อเดือนมีนาคม พ.ศ. 2022 ที่เรา พูดเกี่ยวกับ อาชญากรไซเบอร์จากแคนาดาชื่อ Sebastien Vachon-Desjardins

จากบัญชีทั้งหมด เขาเป็นส่วนหนึ่งของแก๊งที่เรียกว่า Ransomware-as-a-Service (RaaS) เช่น REvil และ NetWalker ซึ่งผู้โจมตี ransomware ตัวจริงทำหน้าที่เป็น "บริษัทในเครือ" สำหรับผู้สร้าง ransomware หลักเพื่อแลกกับการส่งมอบ ผ่านการตัด 30% ของการชำระเงินแบล็กเมล์ที่พวกเขารีดไถเหมือน AppStore หรือเหมือน Google Play

พูดง่ายๆ ก็คือ สมาชิกแก๊งหลักสร้างตัวอย่างมัลแวร์ เรียกใช้เซิร์ฟเวอร์ darkweb ที่จัดการ "การเจรจา" กับเหยื่อ และรวบรวมเงินกรรโชก...

…ในขณะที่บริษัทในเครือจัดการกับการบุกเข้าไปในเครือข่ายของเหยื่อ ทำแผนที่พวกเขา และจัดการโจมตีครั้งสุดท้ายซึ่งมีคอมพิวเตอร์จำนวนมากบนเครือข่ายที่มีข้อมูลของพวกเขาถูกแย่งชิงไปพร้อม ๆ กัน

“ทฤษฎีธุรกิจ” ถ้าเราสามารถเรียกมันว่า การโจมตี 30% ที่ประสบความสำเร็จทุกครั้ง อาชญากรหลักจะกลายเป็นคนมั่งคั่งอย่างยิ่งจริง ๆ แต่เก็บรายละเอียดต่ำให้ห่างจากไฟแก็ซที่ทำลายเครือข่าย

ในขณะเดียวกัน ด้วยการมอบ 70% ให้กับ "บริษัทในเครือ" ของพวกเขา พวกเขาสนับสนุนให้ผู้สมรู้ร่วมคิดเหล่านี้ทำการโจมตีแต่ละครั้งให้อ่อนกำลังลงที่สุดเท่าที่จะเป็นไปได้ ซึ่งอาจเพิ่มจำนวนเงินที่เหยื่อสามารถบีบให้ท้ายที่สุดต้องจ่ายเงินเพื่อให้ธุรกิจของพวกเขากลับมาดำเนินต่อได้อีกครั้ง

เรียนรู้เพิ่มเติมเกี่ยวกับมัลแวร์ล่าสุด (ส่วนแรก)

พื้นหลัง

Vachon-Desjardins เป็นพนักงานรัฐบาลกลางในเขตเมืองหลวงของแคนาดา (เขามาจาก Gatineau ในควิเบก ตรงข้ามแม่น้ำจากเมืองหลวงของสหพันธรัฐออตตาวาในออนแทรีโอ)

ดูเหมือนว่าเขาจะตัดสินใจว่าการเข้าร่วมอาชญากรไซเบอร์ในโลกนี้จะได้กำไรมากกว่างานราชการของเขา และดูเหมือนว่าจะเป็นเช่นนั้นจริงๆ ชั้นวาง โชคเล็ก ๆ ในรายรับที่ผิดกฎหมาย ...

…จนกระทั่งถูกระบุตัว จับกุม และดำเนินคดีในแคนาดา

หลังจากถูกตัดสินจำคุกเกือบเจ็ดปีในเรือนจำของแคนาดา เขาถูกส่งตัวข้ามแดนไปยังแทมปา ฟลอริดาในสหรัฐอเมริกาเพื่อเผชิญหน้ากัน สี่ข้อหาของรัฐบาลกลาง ที่นั่น:

• สมรู้ร่วมคิดที่จะกระทำการฉ้อโกงคอมพิวเตอร์
• สมรู้ร่วมคิดที่จะกระทำการฉ้อโกงลวด
• ความเสียหายโดยเจตนาต่อคอมพิวเตอร์ที่ได้รับการป้องกัน
• การส่งความต้องการที่เกี่ยวข้องกับการสร้างความเสียหายให้กับคอมพิวเตอร์ที่ได้รับการป้องกัน

ทางเลือกของแทมปาสำหรับการพิจารณาคดีของเขาเป็นเพราะเหยื่อที่เป็นที่รู้จักของการโจมตีแรนซัมแวร์ “NetWalker” รายหนึ่งของเขาอยู่ที่นั่น

Vachon-Desjardins ได้สารภาพกับข้อหาทั้งสี่โดย ข้อตกลง (ขอบคุณ The Register สำหรับการอัปโหลดสำเนาเอกสารศาล) อธิบายว่า:

NetWalker Ransomware เป็นซอฟต์แวร์ที่เป็นอันตราย (มัลแวร์) ประเภทหนึ่งที่ใช้ในการประนีประนอมและจำกัดการเข้าถึงเครือข่ายคอมพิวเตอร์ของเหยื่อเพื่อพยายามรีดไถค่าไถ่ ผู้สมรู้ร่วมคิดใช้ NetWalker ไม่เพียงแต่เพื่อเข้ารหัสข้อมูลเหยื่อ แต่ยังใช้มัลแวร์เพื่อขโมยข้อมูลที่ละเอียดอ่อนจากเหยื่ออีกด้วย หากเหยื่อไม่จ่ายค่าไถ่ ผู้สมรู้ร่วมคิดจะปฏิเสธที่จะถอดรหัสข้อมูลของเหยื่อและจะเผยแพร่ข้อมูลที่ละเอียดอ่อนและถูกขโมยทางออนไลน์ ข้อมูลที่ถูกขโมยมักถูกเผยแพร่บนเว็บไซต์มืดที่ชื่อว่า “บล็อก NetWalker” ซึ่งมีขึ้นเพื่อวัตถุประสงค์หลักในการอำนวยความสะดวกในการเผยแพร่ข้อมูลเหยื่อที่ถูกขโมย

NetWalker ดำเนินการเป็น ransomware-as-a-service (“RaaS”) ซึ่งมีผู้พัฒนาและบริษัทในเครือในรัสเซียซึ่งอาศัยอยู่ทั่วโลก ภายใต้โมเดล RaaS นักพัฒนามีหน้าที่รับผิดชอบในการสร้างและอัปเดตแรนซัมแวร์ และทำให้สามารถเข้าถึงได้โดยบริษัทในเครือ บริษัทในเครือมีหน้าที่รับผิดชอบในการระบุและโจมตีผู้ที่ตกเป็นเหยื่อที่มีมูลค่าสูงด้วยแรนซัมแวร์ หลังจากที่เหยื่อจ่ายเงิน นักพัฒนาซอฟต์แวร์และบริษัทในเครือก็แยกค่าไถ่ออก Sebastien Vachon-Desjardins เป็นหนึ่งในบริษัทในเครือ NetWalker Ransomware ที่อุดมสมบูรณ์ที่สุด

SophosLabs ได้วิเคราะห์ NetWalker ransomware อย่างละเอียดด้วยที่เก็บไฟล์ กู้คืนโดยทีมตอบโต้ภัยคุกคามของเรา ระหว่างการสอบสวนเหตุการณ์แรนซัมแวร์ในปี 2020:

ข้ออ้างยังตั้งข้อสังเกตว่า:

ในหรือประมาณวันที่ 27 และ 28 มกราคม พ.ศ. 2021 ตำรวจม้าของแคนาดาได้ดำเนินการตามหมายค้นที่บ้านของ Vachon-Desjardins และในตู้นิรภัยที่ถือโดย Vachon-Desjardins ที่ National Bank, Gatineau, Quebec

ในระหว่างการค้นหาเหล่านี้ เจ้าหน้าที่บังคับใช้กฎหมายได้เข้ายึด Bitcoin ทั้งหมดที่อยู่ใน BTC Wallet 3Pxki6pFFKC12YSn8JtDs3ZrEg3pFTHnHd ของจำเลย

Bitcoin ที่ยึดได้นี้มาจากเงินค่าไถ่ที่จ่ายโดยเหยื่อของการโจมตี NetWalker Ransomware

จำนวนเงินที่ถูกยึดนั้นต่ำกว่า BTC 720 ซึ่งมีมูลค่าประมาณ 23 ล้านเหรียญสหรัฐในช่วงต้นปี 2021 และยังคงมีมูลค่าประมาณ 14 ล้านเหรียญสหรัฐในปัจจุบัน

นั่นไม่ใช่ทั้งหมด แต่ด้วยเอกสารของศาลที่ระบุว่า:

หน่วยงานบังคับใช้กฎหมายระบุและยึดสำเนาของเซิร์ฟเวอร์ที่ทำงานเป็นแบ็กเอนด์หรือเซิร์ฟเวอร์ภายในของ NetWalker Tor Panel และบล็อก NetWalker เซิร์ฟเวอร์นี้มีข้อมูลการทำธุรกรรมโดยละเอียดเกี่ยวกับนักพัฒนา NetWalker และบริษัทในเครือ บันทึกการทำธุรกรรมเปิดเผยว่าในระหว่างการสมรู้ร่วมคิด มีบริษัทในเครือประมาณ 100 รายที่เคลื่อนไหว และผู้ที่ตกเป็นเหยื่อได้จ่ายเงินค่าไถ่ประมาณ 5058 bitcoin (รวมประมาณ 40 ล้านเหรียญสหรัฐตามมูลค่าของ bitcoin ในช่วงเวลาของการทำธุรกรรมแต่ละครั้ง)

บันทึกเหล่านี้เชื่อมโยง Vachon-Desjardins กับการกรรโชก bitcoin ประมาณ 1864 อันเป็นผลสำเร็จในการเรียกค่าไถ่ (รวมประมาณ 21.5 ล้านเหรียญสหรัฐ ขึ้นอยู่กับมูลค่าของ bitcoin ในแต่ละธุรกรรม) จากบริษัทเหยื่อหลายสิบแห่งทั่วโลก รวมถึง [ เหยื่อในแทมปา ฟลอริดา].

อะไรต่อไป?

เชสเตอร์ วิสเนียวสกี้ วางไว้ ในพอดคาสต์เดือนมีนาคม 2022:

เซบาสเตียนถูก "ยืมตัว" ชั่วคราวให้กับชาวอเมริกันเพื่อให้พวกเขาสามารถลงโทษเขาได้ แต่เมื่อเขากลับมา เขายังต้องเผชิญกับประโยคของเขาที่นี่ในแคนาดา

ความผิดฐานฉ้อโกงทางสายเพียงอย่างเดียวมีโทษสูงสุด 20 ปี แต่เราคิดว่าศาลจะกำหนดโทษที่เบาลงเนื่องจากข้อตกลงข้ออ้างที่ลงนาม

ข้อตกลงข้ออ้างทำให้ชัดเจนว่า “จำเลย [จำเลย] สารภาพเพราะ [เขา] มีความผิดจริง”

และส่วนหนึ่งของข้อตกลงรวมถึงว่า “จำเลยตกลงที่จะให้ความร่วมมืออย่างเต็มที่กับสหรัฐอเมริกาในการสอบสวนและดำเนินคดีกับบุคคลอื่น […รวมถึง] การเปิดเผยข้อมูลที่เกี่ยวข้องทั้งหมดอย่างสมบูรณ์และครบถ้วน รวมถึงการผลิตหนังสือ เอกสาร เอกสาร และวัตถุอื่น ๆ ในจำเลย ครอบครองหรือควบคุม”

กล่าวอีกนัยหนึ่ง Vachon-Desjardins คาดว่าจะทำถั่วหกและกำจัดเพื่อนเก่าของเขาในฉาก ransomware

จะทำอย่างไร?

สำหรับข้อมูลเชิงลึกเพิ่มเติมเกี่ยวกับโลกที่น่าเกลียดของแรนซัมแวร์ วิธีการทำงาน และวิธีป้องกันตัวเองจากมัน ทำไมไม่ลองดูแบบสำรวจ State of Ransomware ของเราจาก 2021 และ 2022?

---