Autoridades estadounidenses y búlgaras tomaron esta semana el control de una Dark-web utilizada por el grupo de ciberdelincuentes del ransomware NetWalker para publicar datos robados a sus víctimas.
«Estamos contraatacando la creciente amenaza del ransomware no solo presentando cargos penales contra los actores responsables, sino también interrumpiendo la infraestructura criminal en línea y, siempre que sea posible, recuperando los pagos de rescate extorsionados a las víctimas», dijo el Secretario de Justicia Auxiliar Interino Nicholas L. McQuaid de la División de lo Penal del Departamento de Justicia.
«Las víctimas de ransomware deben saber que acudir a las fuerzas del orden lo antes posible después de un ataque puede conducir a resultados significativos como los que se logran en la operación multifacética actual».
En relación con el derribo, un ciudadano canadiense llamado Sebastien Vachon-Desjardins de la ciudad de Gatineau fue acusado en el estado estadounidense de Florida por extorsionar $ 27,6 millones en criptomonedas de los pagos de rescate.
Por otra parte, el Servicio Nacional de Investigación y la Dirección General de Lucha contra el Crimen Organizado de Bulgaria se apoderaron de un recurso oculto de la web oscura utilizado por los afiliados del ransomware NetWalker, es decir, grupos de ciberdelincuencia responsables de identificar y atacar a víctimas de alto valor que utilizan el ransomware, para proporcionar instrucciones de pago y comunicarse con las víctimas. .
Los visitantes del sitio web ahora serán recibidos por un banner de incautación que les notificará que las autoridades policiales se han apoderado de él.
Chainalysis, que ayudó en la investigación, dijo que ha «rastreado más de $ 46 millones en fondos en rescates de NetWalker desde que entró en escena por primera vez en agosto de 2019», y agregó que cobró impulso a mediados de 2020, aumentando el rescate promedio. a $ 65,000 el año pasado, frente a $ 18,800 en 2019 «.
En los últimos meses, Netwalker surgió como una opción popular de ransomware además de Ryuk, Maze, Doppelpaymer y Sodinokibi, con numerosas empresas, municipios, hospitales, escuelas y universidades objetivo de los ciberdelincuentes para extorsionar a las víctimas.
Antes de la eliminación, se dice que el administrador de NetWalker, que se hace llamar «Bugatti» en los foros de darknet, publicó un anuncio en mayo de 2020 buscando afiliados adicionales de habla rusa como parte de una transición a un ransomware-as-a- modelo de servicio (RaaS), utilizando a los socios para comprometer objetivos y robar datos antes de cifrar los archivos.
Los operadores de NetWalker también han sido parte de una tendencia creciente de ransomware llamada doble extorsión, en la que los atacantes retienen los datos robados como rehenes y amenazan con publicar la información si el objetivo se niega a pagar el rescate.
«Después de que una víctima paga, los desarrolladores y afiliados dividen el rescate», dijo el Departamento de Justicia de Estados Unidos (DoJ).
Los investigadores de Chainalysis sospechan que, además de participar en al menos 91 ataques con NetWalker desde abril de 2020, Vachon-Desjardins trabajó como afiliado de otros operadores de RaaS como Sodinokibi, Suncrypt y Ragnarlocker.
La interrupción de NetWalker se produce el mismo día en que las autoridades europeas anunciaron una eliminación coordinada dirigida a la red de crimeware como servicio de Emotet . La botnet ha sido utilizada por varios grupos de delitos informáticos para implementar malware de segunda etapa, en particular Ryuk y TrickBot.
