US and Bulgarian authorities disrupt NetWalker ransomware operation

[wolfgram]

Law enforcement agencies from Bulgaria and the US have disrupted this week the infrastructure of NetWalker, one of 2020's most active ransomware gangs.
Bulgarian officials seized a server used to host dark web portals for the NetWalker gang, while officials in the US indicted a Canadian national who allegedly made at least $27.6 million from infecting companies with the NetWalker ransomware.

The seized servers were used to host pages where victims of NetWalker attacks were redirected to communicate with the attackers and negotiate ransom demands.

The same server also hosted a blog section where the NetWalker gang would leak data they stole from hacked companies, and which refused to pay the ransom demand — as a form of revenge and public shaming.
Details about the Canadian national indicted today are not yet available beyond his name and residence — Sebastien Vachon-Desjardins, of Gatineau.

Vachon-Desjardins is currently believed to be an "affiliate," a person who rented the ransomware code from the NetWalker creator.

This type of business is called Ransomware-as-a-Service, or RaaS, and is a common setup employed by many ransomware gangs today.


Prior to today's takedown, NetWalker operated through topics posted on several underground forums by a user named Bugatti. This user advertised the ransomware's features and looked for "partners" (aka affiliates) that would breach corporate networks, steal data to be used as leverage during negotiations, and install the ransomware to encrypt files.

If victims paid, Bugatti and the affiliate would split the ransom payments according to a pre-negotiated agreement.

According to US authorities, NetWalker has impacted at least 305 victims from 27 different countries, including 203 in the US.
A report from McAfee published in August 2020 claimed the NetWalker ransomware operation earned more than $25 million from ransom payments from March to July 2020 alone — a number that has gone up, as the gang continued to operate until today's takedown.

In a report published today, blockchain analysis firm Chainalysis updated that figure to more than $46 million for the entire 2020, putting NetWalker in the year's top 5 grossing ransomware strains, next to Ryuk, Maze, Doppelpaymer, and Sodinokibi.
The same Chainalysis report also claims that Vachon-Desjardins also worked as an affiliate for other ransomware gangs, such as Sodinokibi, Suncrypt, and RagnarLocker.

Besides charging the Canadian natioanl, the US DOJ also said it also managed to seize $454,530.19 in cryptocurrency believed to be linked to ransom payments made by three past NetWalker victims.

The NetWalker disruption also comes on the same day that Europol and its partners announced a takedown of the Emotet botnet.

 

[ve1]

Пока ИБ-сообщество во всем мире обсуждает ликвидацию Emotet, правоохранительные органы Болгарии и США провели еще одну важную операцию: нарушили работу инфраструктуры NetWalker, одного из самых активных шифровальщиков 2020 года.

По информации Министерства юстиции США, от активности NetWalker пострадали не менее 305 жертв из 27 стран мира, в том числе 203 в США.

Инфографика: Chainalysis​

Сообщается, что полиция Болгарии захватила сервер, на котором размещались даркнет-порталы операторов NetWalker, а правоохранители в США, тем временем, предъявили обвинения гражданину Канады, который «заработал» не менее 27,6 миллиона долларов, заражая сети различных компаний этим вымогателем.

Известно, что на захваченном властями сервере размещались специальные страницы, куда NetWalker направлял жертв своих атак, чтобы те могли связаться со злоумышленниками и договориться о выплате выкупа. Там же размещался и блог хакеров, где они публиковали похищенные у компаний данные, если те отказывались платить.

Фото: ZDNet​

О задержанном гражданине Канады, Себастьяне Вашон-Дежардене (Sebastien Vachon-Desjardins), которому были предъявлены обвинения, пока известно мало. Судя по всему, он был одним из клиентов NetWalker, то есть арендовал шифровальщика у разработчиков и использовал по прямому назначению, так как NetWalker работает по схеме «вымогатель-как-услуга» (Ransomware-as-a-Service, RaaS).

Также сообщается, что помимо ареста Себастьяна Вашон-Дежардена, американским властям удалось конфисковать 454 530 долларов США в криптовалюте. Считается, что эти деньги связаны с выкупами, которые три жертвы NetWalker ранее выплатили вымогателям.

Напомню, что летом 2020 года аналитики компании McAfee оценивали доходы операторов NetWalker в 25 млн долларов США. Теперь же специалисты фирмы Chainalysis сообщают, что злоумышленники «заработали» около 46 млн долларов за 2020 год, и NetWalker вошел в пятерку самых прибыльных вымогателей прошлого года, наряду с Ryuk, Maze, Doppelpaymer и Sodinokibi.

Также эксперты Chainalysis считают, что вышеупомянутый гражданин Канады был связан не только с авторами NetWalker, но работал и с другими вымогательскими хак-группами, включая разработчиков Sodinokibi, Suncrypt и RagnarLocker.

Источник: xakep.ru/2021/01/28/netwalker-arrest/