El Departamento de Justicia de EE.UU. participa en la disrupción global de NetWalker Ransomware

by ACFCS - 23/03/2021

Este artículo fue publicado originalmente en la edición de enero de 2021 de International Enforcement Law Reporter, www.ielr.com, una respetada publicación estadounidense que abarca cuestiones de derecho penal, delincuencia financiera y más. Se publica con el permiso del abogado, experto en delitos financieros, y miembro del Consejo Asesor de ACFCS Bruce Zagaris.

The International Enforcement Law Reporter (IELR) se complace en anunciar su promoción para los miembros de ACFCS al ofrecer un descuento del 20% en una suscripción de IELR. Para obtener esta oferta, vaya a IELR.com, haga clic en suscribirse, seleccione su opción de suscripción en Descuentos promocionales de IELR y pague con tarjeta de crédito o PayPal. Desde 1985, IELR ha cubierto las tendencias actuales en el crimen internacional y asuntos relacionados y ha brindado un análisis agudo y profundo de los esfuerzos para combatir las actividades ilegales internacionales.

23 de marzo de 2021
Por Bruce Zagaris

El 27 de enero de 2021, el Departamento de Justicia de EE.UU. anunció una acción policial internacional coordinada para interrumpir una forma sofisticada de ciberdelito y ransomware conocida como NetWalker. [1]

NetWalker supuestamente operaba como un modelo de ransomware-as-a-service. Contaba con «desarrolladores» y «afiliados». Los desarrolladores creaban y actualizaban el ransomware y lo ponían a disposición de los afiliados. Los afiliados identificaban y atacaban a víctimas de alto valor con el ransomware.

Cuando una víctima pagaba, los desarrolladores y los afiliados dividían el rescate.

Una acusación presentada el 26 de enero en el Tribunal de Distrito de los Estados Unidos en Florida, acusa a Sebastien Vachon-Desjardins de Gatineau, un ciudadano canadiense, de obtener al menos US$ 27,6 millones a través de los delitos imputados en la acusación.

El Departamento de Justicia anunció que el 10 de enero las fuerzas del orden incautaron aproximadamente US$ 454,530.19 en criptomonedas. Estaba compuesto por pagos de rescate realizados por víctimas de tres ataques separados de ransomware NetWalker.

NetWalker ha atacado a muchas víctimas, incluidas empresas, municipios, hospitales, fuerzas del orden, servicios de emergencia, distritos escolares, colegios y universidades. Los ataques estaban dirigidos expresamente al sector de la salud durante la pandemia de COVID-19, aprovechando la crisis global para extorsionar a las víctimas.

La medida contra NetWalker implica cargos contra un ciudadano canadiense en relación con los ataques de ransomware NetWalker, por los que supuestamente se obtuvieron decenas de millones de dólares, la incautación de aproximadamente US$ 454,530.19 en criptomonedas de pagos de rescate y la desactivación de un recurso oculto de la web oscura utilizado para comunicarse con víctimas del ransomware NetWalker.

El comunicado de prensa del Departamento de Justicia señala que una declaración jurada de las fuerzas del orden establece que, después de que la red informática de la víctima se veía comprometida y los datos se cifraban, los actores que utilizaban NetWalker entregaban un archivo o una nota de rescate a la víctima. Los delincuentes utilizaban Tor, una red informática diseñada para facilitar la comunicación anónima a través de Internet. Los delincuentes comunicaban a las víctimas el monto del rescate requerido y cómo pagarlo.

Con NetWalker, los criminales solían obtener acceso no autorizado a la red informática de la víctima días o semanas antes de la entrega de la nota de rescate.

Durante este tiempo, elevaban en secreto sus privilegios dentro de la red mientras distribuían el ransomware de una estación de trabajo a otra. Entonces enviaban la nota de rescate una vez que creían haber infiltrado adecuadamente en la red de la víctima para extorsionar el pago.

Las autoridades de Bulgaria incautaron un recurso oculto de la web oscura (servidor) utilizado por los afiliados del ransomware NetWalker para alojar portales de la web oscura para la banda NetWalker, proporcionar instrucciones de pago y comunicarse con las víctimas. Los visitantes del recurso ahora encontrarán un banner de incautación. La banda utilizó los servidores incautados para alojar páginas donde las víctimas de los ataques de NetWalker eran redirigidas para comunicarse con los atacantes y negociar las demandas de rescate.

El mismo servidor también albergaba una sección de blog donde la banda NetWalker filtraba datos que robaban de empresas pirateadas que se negaban a pagar la demanda de rescate, como una forma de venganza y escarnio público. [2]

El modus operandi de NetWalker era publicar temas divulgados en varios foros clandestinos por un usuario llamado Bugatti. Este usuario anunciaba las características del ransomware y buscaba «socios» o «afiliados» que infiltraran redes corporativas, robaran datos para usarlos como palanca durante las negociaciones e instalaran el ransomware para cifrar archivos.

Las autoridades estadounidenses dijeron que NetWalker ha impactado al menos a 305 víctimas de 27 países diferentes, incluidas 203 en EE.UU. [3]

Análisis

La acción ilustra la capacidad de las fuerzas del orden público estadounidenses y extranjeras para cooperar y luchar contra sofisticados esquemas internacionales de ciberdelito para finalmente poder interrumpirlos. La acción de aplicación de la ley procesará a los perpetradores, interrumpirá su red y confiscará los instrumentos y el producto de la infracción.

El caso también muestra la sofisticación utilizada por los delincuentes en la forma de utilizar el servidor en la web oscura, lograr una coordinación para apuntar a las víctimas y compartir información confidencial como una forma de vengarse y avergonzar a las corporaciones que se niegan a ceder a las demandas de rescate.

Cada vez más, los delincuentes están franquiciando sus actividades delictivas y utilizan la web oscura para solicitar socios, coordinar y cooperar de manera sofisticada.

1 – U.S. Department of Justice, Department of Justice Launches Global Action Against NetWalker Ransomware, Press Rel. No. 21-96, Jan. 21, 2021.

2 – Catalin Cimpanu, US and Bulgarian authorities disrupt NetWalker ransomware operation, https://www.zdnet.com/article/us-and-bulgarian authorities-dirsupt-netwalker-ransomware-operation/Jan. 27, 2021.

3 – Id.

Buscar por Categoría