Arresto, incautaciones vinculadas a Netwalker Ransomware – Krebs on Safety


Las autoridades estadounidenses y búlgaras incautaron esta semana el sitio darkweb utilizado por el NetWalker grupo de ciberdelitos de ransomware para publicar datos robados a sus víctimas. En relación con la incautación, un ciudadano canadiense sospechoso de extorsionar más de $ 27 millones mediante la difusión de NetWalker fue acusado en un tribunal de Florida.

El sitio para avergonzar a las víctimas mantenido por el grupo de ransomware NetWalker, luego de ser incautado por las autoridades esta semana.

NetWalker es un producto de ransomware-as-a-assistance crimeware en el que los afiliados alquilan el acceso al código de malware actualizado continuamente a cambio de un porcentaje de los fondos extorsionados a las víctimas. Los delincuentes detrás de NetWalker utilizaron el sitio web ahora incautado para publicar datos personales y privados robados a sus presas, como parte de una campaña de presión pública para convencer a las víctimas de que paguen.

NetWalker ha estado entre las cepas de ransomware más rapaces, afectando al menos a 305 víctimas de 27 países, la mayoría en los Estados Unidos, según Chainalysis, una compañía que rastrea el flujo de pagos en moneda virtual.

«Chainalysis ha rastreado más de $ 46 millones en fondos en rescates de NetWalker desde que apareció por primera vez en agosto de 2019», dijo la compañía en una publicación de website detallando su asistencia con la investigación. «Cobró impulso a mediados de 2020, aumentando el rescate promedio a $ 65,000 el año pasado, frente a $ 18,800 en 2019».

Imagen: Chainalysis

En una declaración Sobre la incautación, el Departamento de Justicia dijo que el ransomware NetWalker ha afectado a numerosas víctimas, incluidas empresas, municipios, hospitales, fuerzas del orden, servicios de emergencia, distritos escolares, colegios y universidades. Por ejemplo, la Universidad de California, San Francisco pagó $ 1.4 millones el verano pasado a cambio de una clave electronic necesaria para desbloquear archivos cifrados por el ransomware.

“Los ataques se han dirigido específicamente al sector de la salud durante la pandemia de COVID-19, aprovechando la disaster mundial para extorsionar a las víctimas”, dijo el Departamento de Justicia.

Los fiscales estadounidenses dicen que uno de los principales afiliados de NetWalker fue Sebastien Vachon-Desjardins, de Gatineau, en Ottawa, Canadá. Una acusación revelada hoy en Florida alega que Vachon-Desjardins obtuvo al menos $ 27,6 millones del strategy.

El aviso a los medios del DOJ no menciona la edad del acusado, pero un informe de 2015 en el sitio world-wide-web de noticias locales de Gatineau, ledroit.com sugiere que esta puede no ser su primera ofensa. Según la historia, Sebastien Vachon-Desjardins, que entonces tenía 27 años, fue condenado a más de tres años de prisión por tráfico de drogas: según los informes, lo encontraron en posesión de más de 50.000 tabletas de metanfetamina.

La acción de NetWalker se produjo el mismo día en que las autoridades europeas anunciaron una eliminación coordinada dirigida a la red de crimeware como servicio Emotet. Emotet es una botnet de pago por instalación que utilizan varios grupos distintos de delitos informáticos para implementar malware secundario, en specific la cepa de ransomware Ryuk y Trickbot, un poderoso troyano bancario.

El programa de afiliados de NetWalker ransomware comenzó en marzo de 2020, cuando el administrador del proyecto de crimeware comenzó a reclutar personas en la world-wide-web oscura. Como muchos otros programas de ransomware, NetWalker no permite que los afiliados infecten sistemas ubicados físicamente en Rusia o en cualquier otro país que forme parte del Comunidad de Estados Independientes (CIS), que incluye a la mayoría de las naciones de la ex Unión Soviética. Esta es una prohibición que suelen imponer las operaciones de ciberdelincuencia que se coordinan fuera de Rusia y / o de otras naciones de la CEI porque ayuda a minimizar las posibilidades de que las autoridades locales investiguen sus delitos.

El siguiente anuncio (traducido al inglés por la firma de ciberseguridad Intel 471) fue publicado por el administrador del programa de afiliados de NetWalker el año pasado en uno de los principales foros de delitos cibernéticos. Ilustra el atractivo del modelo de afiliado de ransomware, que maneja todo, desde actualizar el malware para pasar por alto las últimas actualizaciones de antivirus, hasta alquilar espacio en la website oscura donde los afiliados pueden interactuar con las víctimas y negociar el pago. El afiliado, por otro lado, solo necesita concentrarse en encontrar nuevas víctimas.

Estamos reclutando afiliados para el procesamiento de la crimson y el envío de spam.
Nos interesan las personas cuya prioridad es la calidad y no la cantidad.
Preferimos candidatos que puedan trabajar con grandes redes y que tengan su propio acceso a ellas.
Vamos a reclutar a un número limitado de afiliados y luego cerraremos las vacantes hasta que estén disponibles nuevamente.

Le ofrecemos un ransomware rápido y versatile, un panel de administración fácil de usar en Tor, un servicio automatizado.

Cifrado de accesos compartidos: si varios usuarios inician sesión en la computadora de destino, el ransomware infectará sus unidades asignadas, así como los recursos de red donde esos usuarios están conectados – accesos compartidos / NAS, and so forth.

Compilación de Powershell. Cada compilación es única, ya que el malware está dentro del script, no se descarga de World-wide-web. Esto facilita eludir la protección antivirus, incluido Windows Defender (nube +).

Un website completamente automatizado al que se dirigen los datos descargados de la víctima. Los datos se publican de acuerdo con su configuración. Pagos instantáneos y automáticos: inicialmente 20 por ciento, no menos del 16 por ciento.

Accesibilidad de un servicio de cifrado para evitar detecciones AV.

El ransomware ha estado en uso desde septiembre de 2019 y demostró ser confiable. Los archivos cifrados con él no se pueden descifrar.

Está prohibido apuntar a Rusia o la CEI.

Obtendrá toda la información sobre el ransomware, así como los términos y condiciones, después de colocar una aplicación a través de PM.

Formulario de aplicación:
1) El campo en el que se especializa.
2) Tu experiencia. ¿En qué otros programas de afiliados ha estado y cuál fue su beneficio?
3) ¿Cuántos accesos (a redes) tienes? ¿Cuándo estás listo para empezar? ¿Cuántos accesos planeas monetizar?


Etiquetas: Chainalysis, NetWalker, Sebastien Vachon-Desjardins, Departamento de Justicia de EE. UU.

Esta entrada se publicó el miércoles 27 de enero de 2021 a las 5:42 p.m. y está archivada en Ne&#39er-Do-Perfectly News, Ransomware.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puede saltar hasta el ultimate y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia unique