Cyber True Crime: The Affiliate Part 3
Welcome back to Part 3 of the cyber true crime series The Affiliate. In Parts 1 and 2 we went over how a ransomware gang typically operates, how an organization finds out they have been the target of a NetWalker ransomware attack and how one becomes involved in the criminal organization. In this installment, you’ll learn how an international server works and how the Affiliate used them.
To read Part 1, click here.
To read Part 2, click here.
How to be Anonymous
If someone is trying to commit a crime, one of their top priorities – if not their #1 priority – should be not getting caught. This is why someone would use an international server, as it would look like they were committing illegal activities in another country. Whatever you search on the Internet is done through a server that tracks and logs this history. That’s why if it’s suspected that you’ve committed a crime, the authorities may contact your Internet service provider and seize your electronic devices to check what exactly you’ve been up to.
So, what are the benefits of using an international server? For one thing, they are fairly easy to get. A simple online search provides multiple options for folks who hope to shield their online actions from scrutiny. Two of the top reasons someone would want to use an international server are to protect their anonymity and avoid censorships that may exist where they currently reside. They would be looking for countries that have strong regulations around privacy and feature liberal views towards policies. It would also be a good idea to research the country you hope to use for your international server’s treaties with your country of residence, for example (we’ll return to this one in a little bit).
If the goal is to be invisible on the internet, the Affiliate did a pretty good job at covering his tracks. First, as we covered in Part 2, by communicating to targeted organizations through a Tor Panel, it should have been difficult for authorities to track his Internet activity. The fact that NetWalker members also didn’t use their real names, but used a User ID, made it even more challenging to track their identity. However, the Affiliate made a fatal mistake that helped authorities track him down.
Hiding Behind an International Server
As the FBI became aware of Vachon Desjardins’ criminal activity, surveillance was conducted against the first international server they believed to be in his possession. This server was found to contain “an abundance of hacking tools, including those to preform reconnaissance, elevate privileges and steal information from a computer or network.” The server also contained what is known as a “build” – folders containing customized ransomware packages to be deployed on targeted organizations. Through their investigation, the FBI found that each folder or “build” contained “all the tools necessary to execute a ransomware attack” that could link the Affiliate to the targeted organizations we’ll be analyzing in Part 4. FBI investigators found 12 builds on the first server alone.
However, this wasn’t the only server the Affiliate was using. FBI investigators discovered a second international server through fake email addresses that tied him to the server. It’s through the web history of this server that investigators found NetWalker User ID 128 (or the Affiliate) had registered on the NetWalker forum discussed in Part 2.
Through their investigation, the FBI determined that both international servers 1 and 2 resolved to a telecommunications provider in Poland and are referred to as Poland Server #1 and Poland Server #2 respectfully. And this is where the Affiliate made his first mistake. Because of the Mutual Legal Assistance Treaty that exists between Poland and the United States, the FBI were able to ask for official copies of these servers and Polish officials provided these copies in September of 2020. A Mutual Legal Assistance Treaty is an agreement between two or more countries which states that the countries involved will cooperate, share and exchange information with the mutual goal of justice in mind. Not something you’d want if you were committing cyber crimes and trying to cover your tracks.
Once the FBI had access to Poland Server #1 and Poland Server #2, they conducted a forensic analysis on both servers. It would seem, based on the evidence compiled by the FBI, that the Affiliate had attempted to wipe the contents of Poland Server #1 - unfortunately they forgot to empty the recycle bin. The recycle bin for Poland Server #1 contained data that could link the accused to the attacks conducted against 3 of the 5 targeted organizations we’ll discuss in Part 4.
As the FBI continued their investigation into the NetWalker Tor Panel and NetWalker Blog, they were able to locate a third international server hosting this data in Bulgaria, referred to as the Bulgaria Server. And this is where the Affiliate made another mistake. Bulgaria also has a Mutual Legal Assistance Treaty with the United States, meaning that FBI investigators were able to receive a copy of the Bulgaria Server in September of 2020. They found that the Affiliate used this server to populate the NetWalker Tor Panel and Blog.
The Bulgaria Server became an indispensable resource for uncovering the extent of the Affiliate’s involvement with the NetWalker Tor Panel and Blog. An FBI forensic analyst found that the Bulgaria Server “appears to be the backend server” to both the Tor Panel and Blog. A backend server typically contains “all raw information that is used to run a website,” meaning that the Affiliate likely played an important role in the running of both.
The Bulgaria Server had detailed information relating to the NetWalker Blog, such as when the blog entries were created and close to 500 screenshots of sensitive information that had been stolen from targeted organizations. Through their investigation, the FBI concluded that 302 of those screenshots could be tied to the Affiliate through the metadata of those screenshots, and that he was the author or creator of 73. According to an unsealed FBI document, “metadata can include the date when a file was created, modified, the identity of the user who created, modified, or accessed the file, the location where the file was created and other information.” Unfortunately, not all files contain all possible forms of metadata and it can be deleted either partially or in full.
Stay tuned for Part 4 where we’ll go over the 5 organizations that were targeted by NetWalker Ransomware and how they are tied to the Affiliate.
The More you know
Understanding what motivates criminals, who they are and how they work is a vital part of building a more resilient organization. It helps make cybersecurity more real for everyday people and helps individuals and organizations develop plans to better protect themselves from cyber threats. Please consider sharing this series to help more people understand 21st-century crime and how to protect themselves.
Un véritable cybercrime : l’histoire de l’affilié - 3e partie
10 mars
Bienvenue à la troisième partie de l’histoire de l’affilié, un véritable cybercrime. Dans la première et la deuxième parties, nous avons passé en revue la façon dont fonctionne généralement les groupes criminels qui utilisent les rançongiciels, comment les organisations découvrent qu’elles ont été la cible d’une attaque au rançongiciel NetWalker et comment des individus s'impliquent dans des organisations criminelles. Dans cet épisode, vous apprendrez comment fonctionne un serveur international et comment ces derniers ont été utilisés par l’affilié dont il est question dans cette histoire.
Pour lire la première partie, cliquez ici.
Pour lire la deuxième partie, cliquez ici.
Comment être anonyme
Si quelqu’un tente de commettre un crime, l’une de ses principales priorités, si ce n’est pas sa priorité n° 1, devrait être de ne pas se faire prendre. C’est pourquoi l’utilisation d’un serveur international lui serait utile, car celui-ci permet de commettre des activités illicites à partir d’un autre pays. Tout ce que vous recherchez sur Internet se fait via un serveur qui suit et enregistre cet historique, c’est pourquoi si l’on soupçonne que vous avez commis un crime, les autorités peuvent contacter votre fournisseur de services Internet et saisir vos appareils électroniques pour vérifier en détail ce que vous avez fait.
Alors, quels sont les avantages de l’utilisation d’un serveur international? D’une part, ils sont assez faciles à obtenir. Une simple recherche en ligne offre de multiples options pour les personnes qui espèrent dissimuler leurs actions en ligne de toute surveillance. Deux des principales raisons pour lesquelles une personne chercherait à utiliser un serveur international sont de protéger son anonymat et d’éviter la censure qui peut exister dans le pays où elle réside. Cette personne chercherait à utiliser un serveur dans des pays qui ont des réglementations strictes en matière de protection de la vie privée et qui présentent des points de vue libéraux à l’égard des politiques de censure. Ce serait également une bonne idée de rechercher le pays où se situe le serveur que vous désirez utiliser pour savoir si des traités sur l'échange d'information existent entre ce pays et votre pays de résidence, par exemple (nous reviendrons sur ce point un peu plus loin).
Si l’objectif est d’être invisible sur Internet, l’affilié a fait un assez bon travail pour couvrir ses traces. Premièrement, comme nous l’avons expliqué dans la deuxième partie de cette série, en communiquant avec les organisations ciblées par l’entremise d’un panneau Tor, il aurait dû être plus difficile pour les autorités de suivre ses activités sur Internet. Le fait que les membres de NetWalker n’utilisaient pas non plus leurs véritables noms, mais utilisaient un nom d’utilisateur, a rendu encore plus difficile le suivi de leur identité. Cependant, l’affilié a commis une erreur fatale qui a aidé les autorités à le retrouver.
Se cacher derrière un serveur international
Lorsque le FBI a pris connaissance des activités criminelles de Vachon Desjardins, une surveillance a été effectuée contre le premier serveur international qu’ils croyaient être en sa possession. Ce serveur contenait « une abondance d’outils de piratage, y compris ceux utilisés pour préformer la reconnaissance, élever les privilèges et voler des informations d’un ordinateur ou d’un réseau ». Le serveur contenait également ce qu’on appelle une « construction », soit des dossiers contenant des progiciels de rançongiciels personnalisés prêts à être déployés contre des organisations ciblées. Grâce à son enquête, le FBI a constaté que chaque dossier ou « construction » contenait « tous les outils nécessaires pour exécuter une attaque au rançongiciel » qui pourraient lier l’affilié aux organisations ciblées que nous analyserons dans la quatrième partie de cette série. Les enquêteurs du FBI ont trouvé 12 constructions sur le premier serveur seul.
Cependant, ce n’était pas le seul serveur utilisé par l’affilié. Les enquêteurs du FBI ont découvert un deuxième serveur international grâce à de fausses adresses courriel qui l’ont lié au serveur. C’est grâce à l’historique Web contenu sur ce serveur que les enquêteurs ont découvert que le nom d’utilisateur User ID 128 de NetWalker (ou l’affilié) s’était inscrit sur le forum NetWalker dont nous avons discuté dans la deuxième partie de cette série.
Grâce à son enquête, le FBI a déterminé que les serveurs internationaux 1 et 2 étaient liés à un fournisseur de télécommunications en Pologne; les enquêteurs ont donc fait référence à ces serveurs sous les noms de « Poland Server #1 » et « Poland Server #2 » (serveurs polonais 1 et 2). Et c’est là que l’affilié a fait sa première erreur. En raison du traité d’entraide juridique qui existe entre la Pologne et les États-Unis, le FBI a pu demander des copies officielles de ces serveurs, ce qui a été fourni par les autorités polonaises en septembre 2020. Un traité d’entraide juridique est un accord entre deux pays ou plus qui stipule que les pays concernés coopéreront, partageront et échangeront des informations dans un but commun de justice. Vous ne voulez donc pas avoir affaire à ce type de traité si vous commettez des crimes en ligne et tentez de couvrir vos traces.
Une fois que les enquêteurs du FBI ont eu accès aux deux serveurs polonais, ils ont effectué une analyse médico-légale sur ces derniers. Il semblerait, sur la base des preuves compilées par le FBI, que l’affilié avait tenté d’effacer le contenu du premier serveur, mais qu’il ait malheureusement oublié de vider la corbeille. La corbeille de Poland Server #1 contenait des données qui pouvaient lier l’accusé aux attaques menées contre trois des cinq organisations ciblées dont nous discuterons dans la quatrième partie de cette série.
Alors que le FBI poursuivait son enquête sur le panneau NetWalker Tor et le blogue NetWalker, les enquêteurs ont été en mesure de localiser un troisième serveur international hébergeant des données en Bulgarie, le Bulgaria Server. Et c’est là que l’affilié a commis une autre erreur. La Bulgarie a également un traité d’entraide juridique avec les États-Unis, ce qui signifie que les enquêteurs du FBI ont pu recevoir une copie du serveur bulgare en septembre 2020. Ils ont constaté que l’affilié utilisait ce serveur pour alimenter le panneau et le blogue NetWalker Tor.
Le serveur de Bulgarie est devenu une ressource indispensable pour découvrir l’étendue de l’implication de l’affilié avec le panneau Tor et le blogue NetWalker. Un analyste médico-légal du FBI a constaté que le serveur bulgare « semble être le serveur dorsal » du panneau Tor et du blogue. Un serveur dorsal contient généralement « toutes les informations brutes utilisées pour exécuter un site Web », ce qui signifie que l’affilié a probablement joué un rôle important dans l’exécution de panneau Tor et du blogue NetWalker.
Le serveur de Bulgarie contenait des informations détaillées relatives au blogue NetWalker, par exemple la date de création des entrées de blogue, et près de 500 captures d’écran d’informations sensibles qui avaient été volées à des organisations ciblées. Grâce à son enquête, le FBI a conclu que 302 de ces captures d’écran pouvaient être liées à l’affilié à travers les métadonnées de ces captures d’écran, et qu’il était l’auteur ou le créateur de 73 d'entre elles. Selon un document divulgué publiquement par le FBI, « les métadonnées peuvent inclure la date à laquelle un fichier a été créé ou modifié, l’identité de l’utilisateur qui a créé ou le fichier modifié ou qui y a accédé, l’emplacement où le fichier a été créé, ainsi que d’autres informations ». Malheureusement, tous les fichiers ne contiennent pas toutes les formes possibles de métadonnées et ces métadonnées peuvent être supprimées partiellement ou en totalité.
Restez à l’affût pour lire la quatrième partie de cette série où nous passerons en revue les 5 organisations qui ont été ciblées par le rançongiciel NetWalker et comment elles sont liées à l’affilié.
Plus vous en savez
Comprendre ce qui motive les criminels, qui ils sont et comment ils travaillent est essentiel pour assurer la résilience des organisations. S’informer contribue à rendre la cybersécurité plus tangible pour les gens ordinaires et permet aux individus et aux organisations d'élaborer des plans pour mieux se protéger contre les menaces en ligne. Partagez cette série pour aider plus de gens à comprendre la criminalité au 21e siècle et apprendre comment se protéger.
Cyber True Crime: El Afiliado Parte 3
10 de marzo
Le damos la bienvenida de nuevo a la Parte 3 El Afiliado de la serie Cyber True Crime. En las partes 1 y 2 repasamos cómo opera normalmente una banda de ransomware, cómo una organización descubre que ha sido objetivo de un ataque de ransomware NetWalker y cómo se involucra uno en la organización criminal. En esta entrega, aprenderá cómo funciona un servidor internacional y cómo los usó el Afiliado.
Para leer la Parte 1, haga clic aquí.
Para leer la Parte 2, haga clic aquí.
Cómo ser anónimo
Si alguien está tratando de cometer un delito, una de sus principales prioridades, si no es que su prioridad número uno, debe ser que no lo atrapen. Esta es la razón por la que alguien usaría un servidor internacional, ya que así haría parecer que las actividades ilegales se están cometiendo en otro país. Lo que sea que busque en Internet se realiza a través de un servidor que rastrea y registra este historial. Es por eso que si se sospecha que ha cometido un delito, las autoridades pueden comunicarse con su proveedor de servicios de Internet y confiscar sus dispositivos electrónicos para verificar qué ha estado haciendo exactamente.
Entonces, ¿cuáles son los beneficios de usar un servidor internacional? Por un lado, son bastante fáciles de conseguir. Una simple búsqueda en línea proporciona múltiples opciones para las personas que esperan proteger sus acciones en línea contra el escrutinio. Dos de las principales razones por las que alguien querría usar un servidor internacional son para proteger su anonimato y evitar las censuras que pueden existir donde residen actualmente. Buscarían países con regulaciones sólidas en torno a la privacidad y que presenten puntos de vista liberales respecto a las políticas. También sería una buena idea investigar el país que espera usar para los tratados de su servidor internacional con su país de residencia, por ejemplo (volveremos a este en un momento).
Si el objetivo es ser invisible en Internet, el Afiliado hizo un buen trabajo a la hora de ocultar sus huellas. Primero, como vimos en la Parte 2, al comunicarse con organizaciones específicas a través de un Panel Tor, debería haber sido difícil para las autoridades rastrear su actividad en Internet. El hecho de que los miembros de NetWalker tampoco usaran sus nombres reales, sino que usaran un ID de usuario, hizo que fuera aún más difícil rastrear su identidad. Sin embargo, el Afiliado cometió un error fatal que ayudó a las autoridades a rastrearlo.
Esconderse detrás de un servidor internacional
Cuando el FBI se enteró de la actividad criminal de Vachon Desjardins, se llevó a cabo la vigilancia contra el primer servidor internacional que creían que tenía en su poder. Se descubrió que este servidor contenía "una gran cantidad de herramientas de piratería, incluidas aquellas para preformar el reconocimiento, elevar los privilegios y robar información de una computadora o red". El servidor también contenía lo que se conoce como "build", es decir, carpetas que contienen paquetes de ransomware personalizados para ser implementados en organizaciones específicas. Mediante su investigación, el FBI descubrió que cada carpeta o "compilación" contenía "todas las herramientas necesarias para ejecutar un ataque de ransomware" que podría vincular al Afiliado con las organizaciones objetivo que analizaremos en la Parte 4. Los investigadores del FBI encontraron 12 compilaciones solo en el primer servidor.
Sin embargo, este no era el único servidor que el Afiliado estaba utilizando. Los investigadores del FBI descubrieron un segundo servidor internacional a través de direcciones de correo electrónico falsas que lo vinculaban al servidor. Fue a través del historial web de este servidor que los investigadores encontraron que el ID de usuario 128 de NetWalker (o el Afiliado) se había registrado en el foro de NetWalker del cual hablamos en la Parte 2.
Mediante su investigación, el FBI determinó que los servidores internacionales 1 y 2 resolvieron a un proveedor de telecomunicaciones en Polonia, y se conocen como Servidor # 1 de Polonia y Servidor # 2 de Polonia, respectivamente. Y aquí es donde el Afiliado cometió su primer error. Debido al Tratado de Asistencia Jurídica Mutua que existe entre Polonia y los Estados Unidos, el FBI pudo solicitar copias oficiales de estos servidores y los funcionarios polacos las suministraron en septiembre de 2020. Un Tratado de Asistencia Jurídica Mutua es un acuerdo entre dos o más países que establece que los países involucrados cooperarán, compartirán e intercambiarán información teniendo en mente el objetivo mutuo de la impartición de justicia. No es algo conveniente para quienes cometen delitos cibernéticos y tratan de ocultar su rastro.
Cuando el FBI tuvo acceso al Servidor # 1 de Polonia y al Servidor # 2 de Polonia, se llevó a cabo un análisis forense en ambos servidores. Según la evidencia compilada por el FBI, parecería que el Afiliado hubiera intentado borrar el contenido del Servidor # 1 de Polonia; pero, desafortunadamente, olvidó vaciar la papelera de reciclaje. La papelera de reciclaje del Servidor # 1 de Polonia contenía datos que podrían vincular a los acusados con los ataques realizados contra 3 de las 5 organizaciones objetivo que discutiremos en la Parte 4.
A medida que el FBI continuó su investigación sobre el Panel NetWalker Tor y el Blog NetWalker, pudieron localizar un tercer servidor internacional que aloja estos datos en Bulgaria, conocido como el Servidor Bulgaria. Y aquí es donde el Afiliado cometió otro error. Bulgaria también tiene un Tratado de Asistencia Jurídica Mutua con los Estados Unidos, lo que significa que los investigadores del FBI pudieron recibir una copia del Servidor Bulgaria en septiembre de 2020. Descubrieron que el Afiliado usaba este servidor para popular el Panel y el Blog de NetWalker Tor.
El Servidor Bulgaria se convirtió en un recurso indispensable para descubrir el alcance de la participación del Afiliado con el Panel y Blog de NetWalker Tor. Un analista forense del FBI descubrió que el Servidor Bulgaria "podría ser el servidor backend" tanto para el Panel Tor como para el Blog. Un servidor backend generalmente contiene "toda la información sin procesar que se utiliza para ejecutar un sitio web", lo que significa que el Afiliado probablemente jugó un papel importante en el funcionamiento de ambos.
El Servidor Bulgaria tenía información detallada relacionada con el blog de NetWalker, como cuándo se crearon las entradas del blog y cerca de 500 capturas de pantalla de información confidencial que había sido robada de organizaciones objetivo. A través de su investigación, el FBI concluyó que 302 de esas capturas de pantalla podrían estar vinculadas al Afiliado a través de los metadatos de esas capturas de pantalla, y que él era el autor o creador de 73 de estas. Según un documento del FBI no sellado, "los metadatos pueden incluir la fecha en que se creó o se modificó un archivo, la identidad del usuario que creó, modificó o accedió al archivo, la ubicación donde se creó el archivo y otra información". Desafortunadamente, no todos los archivos contienen todas las formas posibles de metadatos y se pueden eliminar parcial o totalmente.
Manténgase al tanto de la Parte 4, donde repasaremos las 5 organizaciones que fueron atacadas por NetWalker Ransomware y cómo están vinculadas al Afiliado.
Cuanto más sepa
Comprender qué motiva a los delincuentes, quiénes son y cómo trabajan es una parte vital de la construcción de una organización más resistente. Ayuda a que la ciberseguridad sea más real para la gente común y ayuda a las personas y organizaciones a desarrollar planes para protegerse mejor de las amenazas cibernéticas. Por favor, considere compartir esta serie para ayudar a más personas a entender el crimen del siglo XXI y cómo protegerse.