Netwalker Ransomware Darknet Webseite beschlagnahmt, erste Anklage

[English]Nächster Erfolg für die Strafverfolger, denn die haben die Server der Darknet Webseite der Netwalker Ransomware-Gang beschlagnahmt und ein „Vertriebler“ aus Kanada, möglicherweise der Kopf der Gang, aus Kanada angeklagt (ob er verhaftet wurde, ist mir nicht ganz klar, ich vermute es aber).

Ich bin bereits gestern auf den nachfolgenden Tweet der Kollegen von Bleeping Computer gestoßen, die eine Information zur Beschlagnahmung enthält. Die Information zur Beschlagnahme, die in einer international koordinierten Aktion auch in USA und Bulgarien erfolgte, findet sich in dieser Meldung des US-Justizministeriums.

Netwalker ransomware darknet website seized

Hintergrund zu Netwalker

Bei Netwalker verfolgen die Hintermänner einen Ransomware as a Service-Ansatz. Das bedeutet, dass die Cyber-Kriminellen die Tools und die Infrastruktur zur Verfügung stellen, um Ransomware gegen Erfolgsbeteiligung auf die Opfer der Systeme zu schleusen. Die Gruppe hat in russischen Dark-Web-Foren interessierte Cyberkriminelle dazu eingeladen, Partner zu werden und die Malware zu verbreiten.

Mit einem Dropper werden die Systeme der Opfer infiziert und die Malware nistet sich ein. Nach Tagen oder Wochen wird dann die eigentliche Ransomware nachgeladen und führt ihre Schadfunktionen wie Verschlüsselung der Dateien des Opfers und erpressen von Lösegeld aus. Diese Aktion erfolgt im Auftrag der Cyber-Kriminellen, die die Erpressung in Auftrag gegeben haben, wobei die Netwalker Provision kassieren (Affiliate-Modell).

Die bisher gesammelten Daten deuten darauf hin, dass die Ransomware Netwalker von einer russischsprachigen Gruppe von Hackern erstellt wurde. Diese spezielle Gruppierung operiert unter dem Namen Circus Spider. Leider macht Netwalker mehr, als nur die Daten der Opfer zu verschlüsseln und Lösegeld zu fordern. Circus Spider veröffentlicht regelmäßig Proben der bei der Ransomware-Infektion vor der Verschlüsselung abgezogenen Daten, um Druck auf die Opfer aufzubauen, es wird behauptet, dass der Rest im Dark Web veröffentlicht werde, wenn das Opfer die Forderungen nicht rechtzeitig erfüllt. Circus Spider hat die sensiblen Daten eines Opfers in einem passwortgeschützten Ordner ins Dark Web geleakt und den Schlüssel online veröffentlicht, wie die Sicherheitsforscher von Varonis hier schreiben.

Entdeckt wurde die Ransomware erstmals im September 2019, wobei aber Zeitstempel der Ransomware auf Ende August datieren. Ursprünglich wurde angenommen, dass es sich um eine Bedrohung der Mailto-Variante handelt, doch inzwischen wurde festgestellt, dass es sich um eine aktualisierte Version davon handelt. Mailto wurde von dem unabhängigen Cybersecurity-Forscher und Twitter-Nutzer GrujaRS entdeckt, wie Heimdal Security hier schreibt.

Ich hatte mehrere Blog-Beiträge zu Netwalker-Infektionen hier im Blog veröffentlicht (siehe Links am Artikelende). Den Affiliates wird ein Anteil von bis zu 84 % der Auszahlung angeboten, wenn die Umsätze der Vorwoche 300.000 US-Dollar übersteigen. Liegt der Verdienst unter dieser Summe, können sie immer noch leicht rund 80% des Gesamtwerts erhalten. Der Rest von 16-20% geht an die Gruppe hinter Netwalker. Im Blog-Beitrag Daten von LG, Xeros und Intel geleaked, Canon von Ransomware befallen gibt es die Information, dass die Netwalker-Ransomware-Gruppe und deren Auftraggeber in nur fünf Monaten, 1. März 2020, bereits 25 Millionen Dollar von ihren Opfern erpressen konnte.

Die Ransomware NetWalker hat zahlreiche Opfer betroffen, darunter Unternehmen, Gemeinden, Krankenhäuser, Strafverfolgungsbehörden, Notdienste, Schulbezirke, Hochschulen und Universitäten. Die Angriffe zielten während der COVID-19-Pandemie speziell auf den Gesundheitssektor ab und nutzten die globale Krise, um Opfer zu erpressen.

Das Mitmachen bei dieser Gruppe unterliegt jedoch eigenen Regeln. So ist es den Affiliates untersagt, gegen Organisationen in Russland und der Gemeinschaft Unabhängiger Staaten vorzugehen. Außerdem ist festgelegt, dass Kollaborateure immer die Dateien der Opfer zurückgeben müssen, die das Lösegeld bezahlt haben. Dennoch ist dies nie eine Garantie, wenn es um Ransomware-Hacker geht, wie man bei Heimdal Security lesen kann. Dort bei Heimdal Security und bei Varonis finden sich weitere Hintergrundinformationen.

Beschlagnahme der Darknet-Seite und Geldern

In dieser Meldung des US-Justizministeriums(DOJ) ist jetzt bekannt geworden, dass die US-Strafverfolger einen Schlag gegen die Netwalker-Gruppe geführt haben. Unter Leitung des FBI in Tampa, Florida, beschlagnahmten die Behörden die Tage eine versteckte Dark-Web-Ressource in Bulgarien. Es handelt sich um eine Tor-Seite der Netwalker Ransomware Seite, über die die Zahlungen und die Datenveröffentlichungen erfolgte. Die Tor-Seite wurde auch von NetWalker-Ransomware-Affiliates genutzt, um Zahlungsinformationen bereitzustellen und mit Opfern zu kommunizieren. Besucher der Seite finden nun ein Beschlagnahmungsbanner (siehe obiger Tweet), das sie darüber informiert, dass sie von den Strafverfolgungsbehörden beschlagnahmt wurde.

Unklar ist, ob die Strafverfolger auch in den Besitz der Schlüssel gelangt sind, mit denen die Dateien der Opfer entschlüsselt werden könnten. Auch ist noch unklar, ob es Verhaftungen der Betreiber gab. Aber es gibt eine Anklage. Laut Anklageschrift wurde Sebastien Vachon-Desjardins aus Gatineau in Ottawa, ein kanadischer Staatsbürger, im Middle District of Florida angeklagt. Vachon-Desjardins soll laut Anklageschrift durch Straftaten mindestens 27,6 Millionen Dollar erlangt haben.

Vachon-Desjardins ist kein unbeschriebenes Blatt, wie Brian Krebs hier schreibt. In der Mitteilung des DOJ wird das Alter des Angeklagten nicht erwähnt. Aber ein Artikel der lokalen Nachrichten-Website ledroit.com aus dem Jahr 2015 in Gatineau deutet darauf hin, dass dies möglicherweise nicht sein erstes Vergehen ist. Dem Artikel zufolge wurde der damals 27-jährige Sebastien Vachon-Desjardins wegen Drogenhandels zu mehr als drei Jahren Gefängnis verurteilt: Er soll im Besitz von mehr als 50.000 Methamphetamin-Tabletten gewesen sein.

Das Justizministerium gab außerdem bekannt, dass die Strafverfolgungsbehörden am 10. Januar etwa 454.530,19 US-Dollar in Kryptowährung beschlagnahmt haben, die sich aus Lösegeldzahlungen von Opfern dreier separater NetWalker-Ransomware-Angriffe zusammensetzten. Es scheint aber, dass man nicht an die Entwickler in Russland heran gekommen ist. Daher bleibt die Frage, ob sich Nachfolger finden, die auch den Resten ein eigenes Modell zimmern. Aber es ist gut, dass den Strafverfolgern der neue Schlag gelungen ist. Nach dem Ausheben der Emotet-Infrastruktur, siehe nachfolgende Links, eine weitere gute Nachricht.

Ähnliche Artikel:
Ransomware-Angriff auf Argentiniens Einwanderungsbehörde, deutsche Passdaten im Netz
Sicherheit: Hacks und Ransomware, die neue Bedrohung
Daten von LG, Xeros und Intel geleaked, Canon von Ransomware befallen
Österreich: IT der Stadt Weiz mit Ransomware infiziert?
BKA: Infrastruktur der Emotet-Schadsoftware übernommen und zerschlagen
Emotet deinstalliert sich angeblich am 25. März 2021

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Netwalker Ransomware Darknet Webseite beschlagnahmt, erste Anklage

  1. Herr IngoW sagt:

    Ja ist sehr gut die Nachricht.
    Leider werden wieder mehrere nachrücken die das schnelle Geld machen wollen.
    Das Katz und Maus Spiel geht leider in die nächste Runde.
    Hoffen wir das die Verfolgungsbehörden besser werden und die zuständigen Stellen mal begreifen das an dieser Stelle mehr investiert/getan werden muss.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert