Om du är en Pocast för naken säkerhet lyssnare, du kanske minns, redan i mars 2022, att vi talade om en dömd cyberkriminell från Kanada vid namn Sebastien Vachon-Desjardins.
Av allt att döma var han en del av flera så kallade Ransomware-as-a-Service (RaaS)-gäng, såsom REvil och NetWalker, där de faktiska ransomware-angriparna agerar som "affiliates" för de centrala ransomware-skaparna, i utbyte mot att de lämnar ut ransomware. över en AppStore-liknande eller Google Play-liknande minskning med 30 % av varje utpressningsbetalning de utpressar.
Enkelt uttryckt skapar kärngängets medlemmar proverna på skadlig programvara, driver darkweb-servrarna som hanterar "förhandlingarna" med offren och samlar in utpressningsbetalningarna...
…medan affiliates hanterar att bryta sig in i offrens nätverk, kartlägga dem och lägga upp den sista attacken där så många datorer på nätverket som möjligt får sina data förvrängda samtidigt.
"Affärsteorin", om vi kan kalla den så, är att genom att ta 30% av varje framgångsrik attack blir kärnkriminella verkligen extremt rika, men håller en låg profil borta från nätverkssprängande rampljus.
Samtidigt, genom att ge 70 % till sina "affiliates", uppmuntrar de dessa medkonspiratörer att göra varje attack så försvagande som möjligt, vilket potentiellt ökar det belopp som offren i slutändan kan tvingas till att betala för att få igång sin verksamhet igen.
LÄS MER OM NYA BUSTAR AV MALWARE (FÖRSTA AVSNITTET)
Bakgrunden
Vachon-Desjardins hade varit en federal regeringsarbetare i den kanadensiska huvudstadsregionen (han kommer från Gatineau i Quebec, tvärs över floden från den federala huvudstaden Ottawa i Ontario).
Han verkar ha bestämt sig för att det skulle vara mycket mer lukrativt att gå med i den cyberbrottsliga undervärlden än hans regeringsjobb, och det verkar som om det verkligen gjorde det. ställ upp en liten förmögenhet i illegala inkomster...
...tills han identifierades, arresterades och åtalades i Kanada.
Efter att ha dömts till nästan sju år i ett kanadensiskt fängelse, utlämnades han sedan till Tampa, Florida i USA, för att möta fyra federala anklagelser där:
- Konspiration för att begå datorbedrägeri
- Konspiration för att begå nätbedrägeri
- Avsiktlig skada på en skyddad dator
- Överföra ett krav i samband med att skada en skyddad dator
Valet av Tampa för rättegången berodde på att ett känt offer för en av hans "NetWalker" ransomware-attacker är baserad där.
Vachon-Desjardins har nu erkänt sig skyldig till alla fyra anklagelserna, med grund överenskommelse (tack till The Register för att ha laddat upp en kopia av domstolshandlingen) som förklarar:
NetWalker Ransomware var en specifik typ av skadlig programvara (malware) som användes för att äventyra och begränsa åtkomsten till ett offers datornätverk i ett försök att pressa ut en lösensumma. Konspiratörer använde NetWalker inte bara för att kryptera offerdata, utan använde också skadlig programvara för att stjäla känslig data från offer. Om ett offer inte betalade lösensumman, skulle konspiratörer vägra att dekryptera offerdata och skulle publicera den känsliga, stulna informationen online. De stulna uppgifterna publicerades ofta på en mörk webbsajt med namnet "NetWalker Blog", som fanns i det primära syftet att underlätta publiceringen av stulna offerdata.
NetWalker fungerade som ransomware-as-a-service (”RaaS”), med ryskbaserade utvecklare och dotterbolag som är bosatta över hela världen. Under RaaS-modellen var utvecklare ansvariga för att skapa och uppdatera ransomwaren och göra den tillgänglig för affiliates. Affiliates var ansvariga för att identifiera och attackera värdefulla offer med ransomware. Efter att ett offer betalat, delade utvecklare och affiliates lösensumman. Sebastien Vachon-Desjardins var en av de mest produktiva NetWalker Ransomware-anslutna.
SophosLabs har analyserat NetWalker ransomware i detalj, tack vare en mängd filer återställd av vårt hotresponsteam under en ransomware-incidentutredning 2020:
I grundöverenskommelsen noteras också att:
Den 27 och 28 januari 2021 verkställde Royal Canadian Mounted Police husrannsakningsorder i Vachon-Desjardins hem och på bankfack som innehas av Vachon-Desjardins vid National Bank, Gatineau, Quebec.
Under dessa sökningar beslagtog brottsbekämpande myndigheter, bland andra tillgångar, alla bitcoin som fanns i svarandens BTC Wallet 3Pxki6pFFKC12YSn8JtDs3ZrEg3pFTHnHd.
Denna beslagtagna bitcoin härrörde främst från lösenpengar som betalats av offer för NetWalker Ransomware-attacker.
Det beslagtagna beloppet var strax under 720 BTC, värt cirka 23 miljoner USD i början av 2021, och fortfarande värt cirka 14 miljoner USD idag.
Det var dock inte allt, med rättegångsdokumentet som säger:
Brottsbekämpande myndigheter identifierade och beslagtog kopior av servern som fungerade som backend, eller internt vänd, server för NetWalker Tor Panel och NetWalker Blog. Den här servern innehöll detaljerad transaktionsinformation om NetWalkers utvecklare och dotterbolag. Transaktionsregistren avslöjade att under loppet av konspirationen hade cirka 100 affiliates varit aktiva och offer hade betalat cirka 5058 bitcoin i lösensummor (ungefärligt totalt 40 miljoner USD baserat på värdet av bitcoin vid tidpunkten för varje transaktion).
Dessa uppgifter knöt också Vachon-Desjardins till den framgångsrika utpressningen av cirka 1864 bitcoin i lösensummor (ungefärligt totalt 21.5 miljoner USD baserat på värdet av bitcoin vid tidpunkten för varje transaktion) från dussintals offerföretag över hela världen, inklusive [den offer i Tampa, Florida].
Vad nästa?
Som Chester Wisniewski Ställ det i mars 2022 podcast:
Sebastien är tillfälligt "utlånad" till amerikanerna, så de kan straffa honom, men när han kommer tillbaka måste han fortfarande möta sitt straff här i Kanada.
Enbart trådbedrägeribrottet har ett maximistraff på 20 år, men vi antar att domstolen kommer att utdöma ett lindrigare straff på grund av att stämningsavtalet har undertecknats.
Räddningsavtalet klargör det "[den] tilltalade erkänner sig skyldig eftersom [han] faktiskt är skyldig."
Och en del av affären inkluderar att "den tilltalade samtycker till att samarbeta fullt ut med USA i utredningen och lagföringen av andra personer, [...inklusive] ett fullständigt och fullständigt avslöjande av all relevant information, inklusive framställning av alla böcker, papper, dokument och andra föremål i svarandens besittning eller kontroll.”
Med andra ord förväntas Vachon-Desjardins nu spilla bönor och tjata ut sina tidigare kompisar i ransomware-scenen.
Vad göra?
För ytterligare insikter i den fula världen av ransomware, hur det fungerar och hur du skyddar dig mot det, varför inte kolla in våra State of Ransomware-undersökningar från 2021 och 2022?
