Канадський кіберзлочинець визнав себе винним в атаках на “NetWalker” у США

Якщо ви Голий Security Pocast слухачу, ти, мабуть, пам’ятаєш, у березні 2022 року ми говорив о засудженого кіберзлочинця з Канади на ім'я Себастьєн Вашон-Дежарден.

Судячи з усього, він був частиною кількох так званих угруповань Ransomware-as-a-Service (RaaS), таких як REvil і NetWalker, де фактичні зловмисники діють як «філії» для основних творців програм-вимагачів в обмін на передачу через 30% скорочення кожного шантажу, який вони вимагають, як у AppStore або Google Play.

Простіше кажучи, основні члени угруповання створюють зразки зловмисного програмного забезпечення, запускають сервери темної мережі, які ведуть «переговори» з жертвами, і збирають платежі за вимагання…

…в той час як афілійовані особи зламують мережі жертв, відображають їх і вишиковують останню атаку, під час якої дані якомога більшої кількості комп’ютерів у мережі зашифровуються одночасно.

«Бізнес-теорія», якщо її можна так назвати, полягає в тому, що, приймаючи 30% від кожної успішної атаки, головні злочинці справді стають надзвичайно багатими, але тримаються осторонь від центру уваги мережевих зломів.

У той же час, передаючи 70% своїм «афілійованим особам», вони заохочують цих співзмовників робити кожну атаку якомога виснажливішою, потенційно збільшуючи суму, яку жертви в кінцевому підсумку можуть сплатити, щоб відновити свій бізнес.

ДІЗНАЙТЕСЯ БІЛЬШЕ ПРО НЕЩАДНІ ПРОГРАМИ ШКІДНИХ ПРОГРАМ (ПЕРШИЙ РОЗДІЛ)

Фон

Вашон-Дежарден був федеральним державним службовцем у канадському столичному регіоні (він походить із Гатіно в Квебеку, прямо через річку від федеральної столиці Оттави в Онтаріо).

Схоже, він вирішив, що приєднатися до злочинного світу кіберзлочинців буде набагато прибутковішим, ніж його державна робота, і, здається, це справді так і було нарощувати невеликі статки незаконних заробітків...

…поки його не ідентифікували, не заарештували та не притягнули до відповідальності в Канаді.

Після того, як його засудили до майже семи років ув’язнення в канадській в’язниці, він був екстрадований до міста Тампа, штат Флорида, США, щоб постати перед судом. чотири федеральні збори там:

• Змова з метою комп’ютерного шахрайства
• Змова на вчинення банківського шахрайства
• Навмисне пошкодження захищеного комп’ютера
• Передача вимоги щодо пошкодження захищеного комп’ютера

Вибір для суду в Тампі був тому, що там знаходиться відома жертва однієї з його атак програм-вимагачів NetWalker.

Зараз Вашон-Дежарден визнав себе винним за всіма чотирма пунктами звинувачення, включаючи угода про визнання провини (дякую Реєстру за завантаження копії судового документа), пояснюючи:

Програма-вимагач NetWalker була особливим типом шкідливого програмного забезпечення (зловмисного програмного забезпечення), яке використовувалося для компрометації та обмеження доступу до комп’ютерної мережі жертви з метою вимагання викупу. Змовники використовували NetWalker не лише для шифрування даних жертв, але й використовували зловмисне програмне забезпечення для викрадення конфіденційних даних у жертв. Якщо жертва не платила викуп, змовники відмовлялися розшифровувати дані жертви й публікували конфіденційні, викрадені дані в Інтернеті. Викрадені дані часто публікувалися на темному веб-сайті під назвою «Блог NetWalker», головною метою якого було сприяння публікації викрадених даних жертв.

NetWalker діяв як програмне забезпечення-вимагач як послуга («RaaS»), в якому брали участь російські розробники та афілійовані особи, які проживали по всьому світу. Згідно з моделлю RaaS, розробники відповідали за створення й оновлення програм-вимагачів, а також за надання до них доступу для афілійованих осіб. Афілійовані особи відповідали за ідентифікацію та атаку високоцінних жертв за допомогою програми-вимагача. Після того, як жертва заплатила, розробники та філії ділять викуп. Себастьян Вашон-Дежарден був одним із найуспішніших партнерів NetWalker Ransomware.

SophosLabs детально проаналізувала програму-вимагач NetWalker завдяки сховище файлів відновлено нашою групою реагування на загрози під час розслідування інциденту програм-вимагачів у 2020 році:

Угода про визнання провини також зазначає, що:

Приблизно 27 і 28 січня 2021 року Королівська канадська кінна поліція виконала ордери на обшук у будинку Вашон-Дежардена та в сейфах, які зберігаються Вашон-Дежарденом у Національному банку, Гатіно, Квебек.

Під час цих обшуків правоохоронні органи вилучили, серед інших активів, усі біткойни, які містилися в BTC-гаманці обвинуваченого 3Pxki6pFFKC12YSn8JtDs3ZrEg3pFTHnHd.

Цей конфіскований біткойн був отриманий в основному з коштів викупу, сплачених жертвами атак NetWalker Ransomware.

Сума вилученого була трохи менше 720 BTC, вартістю близько 23 мільйонів доларів США на початку 2021 року, і все ще коштує близько 14 мільйонів доларів США сьогодні.

Однак це ще не все, оскільки в судовому документі зазначено:

Правоохоронні органи виявили та вилучили копії сервера, який працював як серверний або внутрішній сервер NetWalker Tor Panel і NetWalker Blog. Цей сервер містив детальну інформацію про транзакції щодо розробників і афілійованих осіб NetWalker. Записи транзакцій показали, що під час змови діяли приблизно 100 афілійованих осіб, а жертви заплатили приблизно 5058 біткойнів у вигляді викупу (приблизно 40 мільйонів доларів США на основі вартості біткойнів на момент кожної транзакції).

Ці записи також прив’язують Vachon-Desjardins до успішного вимагання приблизно 1864 біткойнів у вигляді викупу (приблизно 21.5 мільйона доларів США на основі вартості біткойнів на момент кожної транзакції) у десятків компаній-жертв по всьому світу, включаючи [ жертва в Тампі, Флорида].

Що далі?

Як Честер Вишневскі поклади це у березневому подкасті 2022:

Себастьєн тимчасово «позайнятий» американцям, тому вони можуть покарати його, але коли він повернеться, йому все одно доведеться зіткнутися з вироком тут, у Канаді.

Максимальне покарання лише за шахрайство в електронному вигляді передбачає 20 років позбавлення волі, але ми припускаємо, що суд призначить більш м’який вирок через підписання угоди про визнання провини.

Угода про визнання винуватості чітко визначає це «[підсудний] визнає себе винним, оскільки [він] насправді винний».

І частина угоди включає те, що «відповідач погоджується повною мірою співпрацювати зі Сполученими Штатами в розслідуванні та судовому переслідуванні інших осіб, […включаючи] повне та повне розкриття всієї відповідної інформації, включаючи виробництво будь-яких книг, паперів, документів та інших об’єктів у підсудному володіння чи контролю».

Іншими словами, очікується, що Вашон-Дежарден розповість про своїх колишніх друзів у сцені програм-вимагачів.

Що ж робити?

Щоб дізнатися більше про потворний світ програм-вимагачів, про те, як вони працюють і як захиститися від них, перегляньте наші опитування про стан програм-вимагачів від 2021 та 2022?

---