Cyber True Crime: The Affiliate Part 2
Welcome back to the cyber true crime blog series The Affiliate. Part 1 provided an introduction to ransomware, how RaaS works and where the ransomware gang we’ll be focusing on, NetWalker, fits into the narrative. In this second installment, we unravel how one becomes a member of NetWalker and the sort of malicious activities that the ransomware gang participated in.
If you missed Part 1 of the series, you can read it here.
Based on data provided by the FBI, NetWalker has targeted more than 100 organizations, including emergency services, law enforcement, school districts and educational institutions. They have reportedly made over tens of millions of dollars in ransomware payments.
Behind the Scenes
So how do they do it? According to an unsealed FBI document, organizations learn that they have been the target of a NetWalker ransomware attack and that their data has been encrypted by a ransom note that appears on one or more computers on their network. The note has been partially released by FBI investigators and reads:
Hi! Your files are encrypted by NetWalker … if for some reason you read this text before the encryption ended, this can be understood by the fact that the computer slows down, and your heart rate has increased due to the inability to turn it off, then we recommend that you move away from the computer and accept that you have been compromised. Rebooting/shutdown will cause you to lose files without the possibility of recovery … Our encryption algorithms are very strong and your files are very well protected, the only way to get your files back is to cooperate with us and get the decrypter program. Do not try to recover your files without a decrypter program, you may damage them and then they will be impossible to recover. For us this is just business.
As we can see in the portion of the ransom note we have access to, NetWalker uses social engineering to induce fear and panic in the recipients of their calculated attacks. They use language that would promote feelings of fear, defeat and hopelessness, and brag about the alleged strength of their ransomware to coerce organizations into paying the ransom.
Though not included in the released portion of the ransom note, targeted organizations also receive “a unique code for the URL to a website hosted on the dark web.” FBI investigators found that the URL leads to the NetWalker Tor Panel. A Tor Panel or Browser is used to protect the identity of the people accessing it. They are particularly useful to cybercriminals as internet service providers or people trying to track your internet activity won’t be able to. This is because they will only see the connection as coming from the Tor Panel and not the actual Internet (IP) address – making the user’s identity invisible to authorities and service providers.
Through their investigation, the FBI found that once the unique code is entered, the targeted organization will see the ransom amount demanded in Bitcoin and instructions for paying it. Although not mentioned in the brief snippet we have access to, targets of NetWalker ransomware who follow the gang’s instructions are prompted to communicate with an affiliate via the NetWalker Tor Panel chat function, most likely to complete the transaction.
If the targeted organization pays the ransom in Bitcoin, the ransom is split between the developers and affiliates following a preestablished agreement between the two. Since this is all done via the NetWalker Tor Panel, the anonymity of the members in the organization is maintained and makes tracing the transaction back to those who received payment difficult.
Identifying NetWalker members is made even more challenging since they are not identified by name, but by a “User ID” number, according to the FBI investigation. As a result of their investigation, and as we will explain more fully in future blogs, Vachon was charged with participating as an affiliate with the NetWalker Ransomware gang is know as User ID 128 on the NetWalker Tor Panel.
A Career in Cyber Crime
But how does one become involved with a criminal organization like NetWalker? Well, much like most public and openly accepted jobs, there is an application process. As part of their investigation, FBI officials found a job advertisement posted on a criminal forum for NetWalker which indicated that candidates should “identify their area of technological expertise, experience, and other ransomware variants with which they had worked.”
Now, it’s unclear just how much experience and expertise are required to land a job like this; but, since affiliates don’t need a ton of technological know-how to successfully target and orchestrate a ransomware attack, it’s safe to say that most would have been at least interviewed - if this is the process they followed - the FBI didn’t indicate in any publicly accessible documents if the exact hiring process is known.
Now that we have a general idea of how NetWalker works, in our next blog we’ll go over how the Affiliate went about researching and attempting to hide his alleged criminal activity from authorities through international servers.
The More You Know
Understanding what motivates criminals, who they are and how they work is a vital part of building a more resilient organization. It helps make cybersecurity more real for everyday people and helps individuals and organizations develop plans to better protect themselves from cyber threats. Please consider sharing this series to help more people understand 21st-century crime and how to protect themselves.
Un véritable cybercrime : l’histoire de l’affilié (2e partie)
Bienvenue à cette série de billets de blogue intitulée Un véritable cybercrime : l’affilié. La première partie a fourni une introduction au monde des rançongiciels, au fonctionnement des rançongiciels-services ou RaaS, et comment le groupe organisé NetWalker s’insère dans cette histoire. Dans ce deuxième épisode, nous démêlons comment on devient membre de NetWalker et le type d’activités malveillantes utilisées par ce groupe organisé qui utilise les rançongiciels.
Si vous n’avez pas déjà lu la première partie de cette série, vous pouvez le faire ici.
Selon des données fournies par le FBI, NetWalker a ciblé plus de 100 organisations, y compris des services d’urgence, les forces de l’ordre, des districts scolaires et des établissements d’enseignement. Le groupe aurait empoché des dizaines de millions de dollars en paiements de rançongiciels.
Dans les coulisses
Alors, comment s’y prennent-ils? Selon un document rendu public par le FBI, les organisations apprennent qu’elles ont été la cible d’une attaque au rançongiciel de NetWalker et que leurs données ont été cryptées par une note de rançon qui apparaît sur un ou plusieurs ordinateurs de leur réseau. La note originelle en anglais a été partiellement publiée par les enquêteurs du FBI et se lit comme suit une fois traduite :
Bonjour! Vos fichiers sont cryptés par NetWalker... si, pour une raison quelconque, vous lisez ce texte avant la fin du cryptage, cela peut être compris par le fait que l’ordinateur ralentit et que votre fréquence cardiaque a augmenté en raison de votre incapacité à l’éteindre, nous vous recommandons de vous éloigner de l’ordinateur et d’accepter que votre réseau a été compromis. Le redémarrage ou l’arrêt de l’ordinateur vous fera perdre des fichiers sans possibilité de récupération... Nos algorithmes de cryptage sont très robustes et vos fichiers sont très bien protégés; la seule façon de récupérer vos fichiers est de coopérer avec nous et d’obtenir le programme de déchiffrement. N’essayez pas de récupérer vos fichiers sans un programme de déchiffrement; vous pouvez les endommager et alors ils seront impossibles à récupérer. Pour nous, c’est simplement une question d’affaires.
Comme nous pouvons le voir dans la partie de la note de rançon à laquelle nous avons accès, NetWalker utilise l’ingénierie sociale pour induire la peur et la panique chez les destinataires de leurs attaques calculées. Ils utilisent un langage qui favoriserait des sentiments de peur, de défaite et de désespoir, et se vantent de la force présumée de leur attaque au rançongiciel pour contraindre les organisations à payer la rançon.
Bien qu’elles ne figurent pas dans la partie publiée de la note de rançon, les organisations ciblées reçoivent également « un code unique pour l’URL d’un site Web hébergé sur le Web clandestin ». Les enquêteurs du FBI ont constaté que l’URL mène au panneau Tor de NetWalker. Un panneau ou un navigateur Tor est utilisé pour protéger l’identité des personnes qui y accèdent. Ils sont particulièrement utiles aux cybercriminels, car les fournisseurs de services Internet ou les personnes qui tentent de suivre leurs activités sur Internet ne pourront pas le faire. En effet, ils ne verront la connexion que comme provenant du panneau Tor et non de l’adresse Internet (IP) réelle de l’utilisateur, rendant l’identité de ce dernier invisible aux autorités et aux fournisseurs de services.
Grâce à son enquête, le FBI a constaté qu’une fois le code unique entré, l’organisation ciblée verra le montant de la rançon demandée en Bitcoin et les instructions pour la payer. Bien que cela ne soit pas mentionné dans le bref extrait auquel nous avons accès, les cibles du rançongiciel de NetWalker qui suivent les instructions du groupe criminel sont invitées à communiquer avec un affilié via la fonction de chat du navigateur Tor de NetWalker, probablement afin de conclure la transaction.
Si l’organisation ciblée paie la rançon en Bitcoin, la rançon est divisée entre les développeurs et les affiliés à la suite d’un accord préétabli entre les deux parties. Étant donné que tout cela se fait via le navigateur Tor de NetWalker, l’anonymat des membres de l’organisation est maintenu, ce qui rend difficile le traçage de la transaction jusqu’à ceux qui ont reçu le paiement.
Selon l’enquête du FBI, l’identification des membres de NetWalker est encore plus difficile, car ils ne sont pas identifiés par leur nom, mais par un numéro d’identification utilisateur. À la suite de cette enquête, et comme nous l’expliquerons plus en détail dans les prochains billets de blogue, M. Vachon a été accusé de participation en tant qu’affilié au groupe criminel NetWalker sous l’identifiant 128 sur le navigateur Tor de NetWalker.
Une carrière dans la cybercriminalité
Mais comment peut-on s’impliquer auprès d’une organisation criminelle comme NetWalker? Eh bien, tout comme la plupart des emplois publics et ouvertement acceptés, il existe un processus de candidature. Dans le cadre de leur enquête, les responsables du FBI ont trouvé une annonce d’emploi publiée sur un forum criminel pour NetWalker qui indiquait que les candidats devaient « identifier leur domaine d’expertise technologique, leur expérience, et les autres variantes de rançongiciel avec lesquels ils avaient travaillé ».
On ne sait pas exactement en quoi consistent l’expérience et l’expertise demandées pour décrocher un emploi comme celui-ci; mais, puisque les affiliés n’ont pas besoin d’une tonne de savoir-faire technologiques pour cibler et orchestrer avec succès une attaque au rançongiciel, nous pouvons dire avec certitude que la plupart auraient été au moins interviewés, si c’est le processus qu’ils ont suivi. Le FBI n’a indiqué dans aucun document accessible au public si le processus d’embauche exact est connu.
Maintenant que nous avons une idée générale du fonctionnement de NetWalker, nous passerons en revue dans notre prochain billet de blogue la façon dont l’affilié a fait des recherches et tenté de cacher son activité criminelle présumée aux autorités via des serveurs internationaux.
Plus vous en savez
Comprendre ce qui motive les criminels, qui ils sont et comment ils travaillent est essentiel pour assurer la résilience des organisations. S’informer contribue à rendre la cybersécurité plus tangible pour les gens ordinaires et permet aux individus et aux organisations d’élaborer des plans pour mieux se protéger contre les cybermenaces. Partagez cette série pour aider plus de gens à comprendre la criminalité au 21e siècle et apprendre comment se protéger.
Cyber True Crime: The Affiliate Parte 2
Te damos la bienvenida de nuevo a la serie de publicaciones de blog sobre verdaderos crímenes cibernéticos, Cyber True Crime The Affiliate. En la Parte 1, se hizo una introducción al ransomware, cómo funciona RaaS y dónde encaja la banda de ransomware en la que nos centraremos, NetWalker, en la narrativa. En esta segunda entrega, desentrañamos cómo convertirse en miembro de NetWalker y el tipo de actividades maliciosas en las que participó la banda de ransomware.
Si te perdiste la Parte 1 de la serie, puedes leerla aquí.
En función de los datos proporcionados por el FBI, NetWalker ha atacado a más de 100 organizaciones, incluidos servicios de emergencia, fuerzas del orden, distritos escolares e instituciones educativas. Según los informes, se han embolsado más de decenas de millones de dólares en pagos de ransomware.
Entre bastidores
Entonces, ¿cómo lo hacen? Según un documento del FBI no sellado, las organizaciones se percatan de que han sido el objetivo de un ataque de ransomware NetWalker y que sus datos han sido cifrados por una nota de rescate que aparece en una o más computadoras de su red. La nota ha sido publicada parcialmente por los investigadores del FBI y dice:
¡Hola! Sus archivos han sido encriptados por NetWalker... si por alguna razón lee este texto antes de que termine el cifrado, se podrá explicar por el hecho de que la computadora se ralentiza y su frecuencia cardíaca aumenta debido a que no puede apagarla; así que le recomendamos que se aleje de la computadora y acepte que ha sido perjudicado. Si reinicia o apaga la computadora, perderá archivos sin poderlos recuperar... Nuestros algoritmos de cifrado son muy fuertes y sus archivos están muy bien protegidos. La única forma de recuperar sus archivos es cooperar con nosotros y obtener el programa de descifrado. No intente recuperar sus archivos sin un programa de descifrado, podría dañarlos e imposibilitar su recuperación más adelante. Para nosotros, esto son solo negocios.
Como podemos ver en la parte de la nota de rescate a la que tenemos acceso, NetWalker utiliza la ingeniería social para inducir miedo y pánico en los destinatarios de sus ataques calculados. Usan un lenguaje que genera sentimientos de miedo, derrota y desesperanza, y se jactan de la supuesta fuerza de su ransomware para obligar a las organizaciones a pagar el rescate.
Aunque no se incluye en la parte publicada de la nota de rescate, las organizaciones objetivo también reciben «un código exclusivo con la URL de un sitio web alojado en la web oscura». Los investigadores del FBI descubrieron que la URL conduce al Panel NetWalker Tor. Un Panel o Navegador Tor se utiliza para proteger la identidad de las personas que acceden a él. Son particularmente útiles para los ciberdelincuentes, ya que los proveedores de servicios de Internet o las personas que intentan rastrear su actividad en Internet no podrán hacerlo. Esto se debe a que solo verán que la conexión proviene del Panel Tor y no de la dirección real de Internet (IP), lo que hace que la identidad del usuario sea invisible para las autoridades y los proveedores de servicios.
Mediante su investigación, el FBI descubrió que una vez que se ingresa el código exclusivo, la organización objetivo verá el monto del rescate exigido en Bitcoin y las instrucciones para pagarlo. Aunque no se menciona en el breve fragmento al que tenemos acceso, a las víctimas del ransomware NetWalker que siguen las instrucciones de la pandilla se les pide que se comuniquen con un socio a través de la función de chat del Panel NetWalker Tor, seguramente para que realicen la transacción.
Si la organización objetivo paga el rescate en Bitcoin, el rescate se divide entre los desarrolladores y socios tras un acuerdo preestablecido entre los dos. Dado que todo esto se hace a través del Panel NetWalker Tor, se mantiene el anonimato de los miembros de la organización y se dificulta el rastreo de la transacción hasta quienes recibieron el pago.
Identificar a los miembros de NetWalker se hace aún más difícil ya que no se identifican por su nombre, sino por un número de «ID de usuario», según la investigación del FBI. Como resultado de su investigación, y como explicaremos más detalladamente en futuras entradas de blog, Vachon, que fue acusado de participar como socio con la banda de ransomware NetWalker, es conocido mediante el ID de usuario 128 en el Panel NetWalker Tor.
Una carrera en delitos cibernéticos
Pero ¿cómo se involucra uno con una organización criminal como NetWalker? Bueno, al igual que la mayoría de los trabajos públicos y aceptados, hay un proceso de solicitud. Como parte de su investigación, los funcionarios del FBI encontraron un anuncio de trabajo publicado en un foro criminal para NetWalker que indicaba que los candidatos debían «indicar su área de conocimientos tecnológicos, experiencia y otras variantes de ransomware con las que habían trabajado».
Ahora, no está claro cuánta experiencia y conocimientos se requieren para conseguir un trabajo como este; pero, dado que los afiliados no necesitan toneladas de conocimientos tecnológicos para atacar y orquestar con éxito un ataque de ransomware, se podría decir que la mayoría habría sido al menos entrevistada, si este es el proceso que siguieron; el FBI no indicó en ningún documento de acceso público si se conoce el proceso exacto de contratación.
Ahora que tenemos una idea general de cómo funciona NetWalker, en nuestro próximo blog repasaremos cómo el socio investigó e intentó ocultar su presunta actividad criminal a las autoridades a través de servidores internacionales.
Cuanto más sabes
Comprender qué motiva a los delincuentes, quiénes son y cómo trabajan es una parte vital de la construcción de una organización más resistente. Ayuda a que la ciberseguridad sea más real para la gente común y ayuda a las personas y organizaciones a desarrollar planes para protegerse mejor de las amenazas cibernéticas. Considera compartir esta serie para ayudar a más personas a entender el crimen del siglo XXI y cómo protegerse.