Tội phạm mạng Canada nhận tội thực hiện các cuộc tấn công “NetWalker” ở Hoa Kỳ

by
Paul Ducklin

Nếu bạn là một Pocast bảo mật khỏa thân người nghe, bạn có thể nhớ, trở lại vào tháng 2022 năm XNUMX, rằng chúng tôi nói về một tội phạm mạng bị kết án từ Canada tên là Sebastien Vachon-Desjardins.

Theo tất cả các tài khoản, anh ta là một phần của một số băng nhóm được gọi là Ransomware-as-a-Service (RaaS), chẳng hạn như REvil và NetWalker, nơi những kẻ tấn công ransomware thực sự hoạt động như "chi nhánh" cho những người tạo ransomware cốt lõi, để đổi lấy qua việc cắt giảm 30% tương tự như AppStore hoặc Google Play cho mỗi khoản thanh toán tống tiền mà họ tống tiền.

Nói một cách đơn giản, các thành viên cốt cán của băng đảng tạo ra các mẫu phần mềm độc hại, chạy các máy chủ darkweb xử lý “các cuộc đàm phán” với nạn nhân và thu các khoản thanh toán tống tiền…

… Trong khi các chi nhánh xử lý việc đột nhập vào mạng của nạn nhân, vạch ra chúng và chuẩn bị cho cuộc tấn công cuối cùng, trong đó càng nhiều máy tính trên mạng có dữ liệu của họ bị xáo trộn cùng một lúc càng tốt.

“Lý thuyết kinh doanh”, nếu chúng ta có thể gọi nó như vậy, là bằng cách chiếm 30% mỗi cuộc tấn công thành công, những tên tội phạm cốt lõi thực sự trở nên cực kỳ giàu có, nhưng hãy giữ một cái nhìn khiêm tốn, tránh xa ánh đèn sân khấu mạng.

Đồng thời, bằng cách giao 70% cho các “chi nhánh” của mình, họ khuyến khích những kẻ đồng phạm đó thực hiện mỗi cuộc tấn công càng làm suy nhược càng tốt, có khả năng tăng số tiền mà nạn nhân cuối cùng có thể bị ép phải trả để hoạt động kinh doanh trở lại.

TÌM HIỂU THÊM VỀ CÁC BUỔI TẠO PHẦN MỀM GẦN ĐÂY (PHẦN ĐẦU TIÊN)

Bối cảnh

Vachon-Desjardins từng là nhân viên chính phủ liên bang ở Vùng thủ đô Canada (anh đến từ Gatineau ở Quebec, ngay bên kia sông từ thủ đô liên bang Ottawa ở Ontario).

Anh ta dường như đã quyết định rằng tham gia thế giới ngầm tội phạm mạng sẽ sinh lợi hơn nhiều so với công việc chính phủ của anh ta, và có vẻ như điều đó đã thực sự tăng lên một tài sản nhỏ trong thu nhập bất hợp pháp…

… Cho đến khi anh ta bị xác định, bị bắt và bị truy tố ở Canada.

Sau khi bị kết án gần bảy năm trong nhà tù ở Canada, anh ta sau đó bị dẫn độ đến Tampa, Florida ở Mỹ, để đối mặt bốn khoản phí liên bang ở đó:

Âm mưu thực hiện hành vi gian lận máy tính
Âm mưu cam kết gian lận chuyển tiền
Thiệt hại có chủ ý đối với một máy tính được bảo vệ
Truyền nhu cầu liên quan đến việc làm hỏng máy tính được bảo vệ

Sự lựa chọn Tampa cho phiên tòa của anh ta là vì một nạn nhân được biết đến của một trong những cuộc tấn công ransomware “NetWalker” của anh ta ở đó.

Vachon-Desjardins hiện đã nhận tội cả bốn tội danh, với thỏa thuận (cảm ơn The Register đã tải lên bản sao của tài liệu tòa án) giải thích:

NetWalker Ransomware là một loại phần mềm độc hại (phần mềm độc hại) cụ thể được sử dụng để xâm nhập và hạn chế quyền truy cập vào mạng máy tính của nạn nhân nhằm tống tiền đòi tiền chuộc. Những kẻ âm mưu đã sử dụng NetWalker không chỉ để mã hóa dữ liệu nạn nhân mà còn sử dụng phần mềm độc hại này để đánh cắp dữ liệu nhạy cảm của nạn nhân. Nếu nạn nhân không trả tiền chuộc, những kẻ chủ mưu sẽ từ chối giải mã dữ liệu nạn nhân và sẽ công bố dữ liệu nhạy cảm bị đánh cắp trực tuyến. Dữ liệu bị đánh cắp thường được xuất bản trên một trang web dark web có tên là “Blog NetWalker”, tồn tại với mục đích chính là tạo điều kiện cho việc công bố dữ liệu nạn nhân bị đánh cắp.

NetWalker hoạt động dưới dạng ransomware-as-a-service (“RaaS”), có các nhà phát triển và chi nhánh có trụ sở tại Nga cư trú trên toàn thế giới. Theo mô hình RaaS, các nhà phát triển chịu trách nhiệm tạo và cập nhật ransomware, đồng thời cung cấp nó cho các chi nhánh. Các chi nhánh chịu trách nhiệm xác định và tấn công các nạn nhân có giá trị cao bằng ransomware. Sau khi một nạn nhân trả tiền, các nhà phát triển và các chi nhánh chia tiền chuộc. Sebastien Vachon-Desjardins là một trong những chi nhánh của NetWalker Ransomware phát triển mạnh nhất.

SophosLabs đã phân tích chi tiết phần mềm tống tiền NetWalker, nhờ vào một kho tệp được phục hồi bởi nhóm ứng phó mối đe dọa của chúng tôi trong cuộc điều tra sự cố ransomware vào năm 2020:

Thỏa thuận nhận tội cũng lưu ý rằng:

Vào khoảng ngày 27 và 28 tháng 2021 năm XNUMX, Cảnh sát Hoàng gia Canada thực hiện lệnh khám xét tại nhà của Vachon-Desjardins và các két an toàn do Vachon-Desjardins giữ tại Ngân hàng Quốc gia, Gatineau, Quebec.

Trong các cuộc khám xét này, cơ quan thực thi pháp luật đã thu giữ, cùng với các tài sản khác, tất cả bitcoin có trong Ví BTC của bị cáo 3Pxki6pFFKC12YSn8JtDs3ZrEg3pFTHnHd.

Số bitcoin bị tịch thu này chủ yếu có nguồn gốc từ tiền chuộc do các nạn nhân của các cuộc tấn công NetWalker Ransomware trả.

Số tiền bị tịch thu chỉ dưới 720 BTC, trị giá khoảng 23 triệu đô la Mỹ vào đầu năm 2021 và vẫn trị giá khoảng 14 triệu đô la Mỹ cho đến ngày nay.

Tuy nhiên, đó không phải là tất cả, với tài liệu tòa án nêu rõ:

Cơ quan thực thi pháp luật đã xác định và thu giữ các bản sao của máy chủ hoạt động như máy chủ phụ trợ hoặc máy chủ nội bộ của NetWalker Tor Panel và NetWalker Blog. Máy chủ này chứa thông tin giao dịch chi tiết về các nhà phát triển và chi nhánh của NetWalker. Hồ sơ giao dịch tiết lộ rằng trong suốt quá trình âm mưu, khoảng 100 chi nhánh đã hoạt động và các nạn nhân đã trả khoảng 5058 bitcoin tiền chuộc (tổng số tiền gần đúng là 40 triệu đô la Mỹ dựa trên giá trị bitcoin tại thời điểm mỗi giao dịch).

Những hồ sơ này cũng gắn Vachon-Desjardins với vụ tống tiền thành công khoảng 1864 bitcoin đòi tiền chuộc (tổng số tiền gần đúng là 21.5 triệu đô la Mỹ dựa trên giá trị bitcoin tại thời điểm mỗi giao dịch) từ hàng chục công ty nạn nhân trên khắp thế giới, bao gồm [ nạn nhân ở Tampa, Florida].

Tiếp theo là gì?

Như Chester Wisniewski đặt nó trong podcast tháng 2022 năm XNUMX:

Sebastien tạm thời “cho người Mỹ mượn”, vì vậy họ có thể trừng phạt anh ta, nhưng khi anh ta trở lại, anh ta vẫn phải đối mặt với bản án của mình tại Canada.

Chỉ riêng tội gian lận điện tử đã có mức án tối đa là 20 năm, nhưng chúng tôi giả định rằng tòa án sẽ áp dụng mức án nhẹ hơn do thỏa thuận nhận tội đã được ký kết.

Thỏa thuận nhận tội làm rõ rằng “[Bị cáo] đang nhận tội vì trên thực tế [anh ta] có tội.”

Và một phần của thỏa thuận bao gồm “Bị cáo đồng ý hợp tác toàn diện với Hoa Kỳ trong việc điều tra và truy tố những người khác, [… bao gồm] tiết lộ đầy đủ và đầy đủ tất cả các thông tin liên quan, bao gồm việc sản xuất bất kỳ và tất cả sách, giấy tờ, tài liệu và các đồ vật khác trong bị cáo chiếm hữu hoặc kiểm soát. ”

Nói cách khác, Vachon-Desjardins giờ đây được cho là sẽ làm đổ hạt đậu, và loại bỏ những người bạn cũ của mình trong cảnh ransomware.

Phải làm gì?

Để có thêm hiểu biết về thế giới xấu xí của ransomware, cách thức hoạt động và cách bảo vệ bản thân khỏi nó, tại sao không xem qua các cuộc khảo sát về State of Ransomware của chúng tôi từ 2021 và 2022?

Trí thông minh dữ liệu tạo

Tội phạm mạng Canada nhận tội tấn công “NetWalker” ở Hoa Kỳ

Bối cảnh

Tiếp theo là gì?

Phải làm gì?

Một studio do người đứng đầu phần nhiều người chơi của StarCraft 2 chỉ đạo muốn tạo ra một 'sự thay đổi mô hình' RTS với trò chơi chưa được báo trước của mình

No Rest for the Wicked không phải là Diablo, nhưng nó có thể là một trong những tựa game có tâm hồn thông minh nhất mà tôi từng chơi trong một thời gian dài

Tin tức mới nhất

Tiết kiệm 20% khi không nghỉ ngơi cho kẻ ác và nhận trò chơi miễn phí trong thời gian có hạn

Hướng dẫn về Ngày cộng đồng Pokémon Go Bellsprout

Bandai Namco Tháng 2024 năm XNUMX Giảm giá Switch eShop: giá thấp nhất từ trước đến nay cho Digimon World: Next Order, We Love Katamari, hơn thế nữa

Bộ điều khiển Xbox có thể tùy chỉnh của Asus giảm xuống mức giá thấp nhất từ trước đến nay tại Amazon

Chương trình truyền hình Fallout của Amazon được làm mới cho Phần 2 – PlayStation LifeStyle

Trò chơi chưa khai thác giới thiệu Lễ hội trò chơi mùa hè Tiết lộ trò chơi RTS – MonsterVine

Trò chuyện trực tiếp với chúng tôi (chat)