Cyber True Crime: The Affiliate Part 4
Welcome back to Part 4 of the cyber true crime series: The Affiliate. In past blogs, we covered how a ransomware gang typically operates, how an organization finds out they have been the target of a NetWalker ransomware attack, how one becomes a NetWalker affiliate and everything you need to know about international servers. In this installment, we’ll cover the organizations that the Affiliate targeted over the span of a few weeks.
To read Part 1, click here.
To read Part 2, click here.
To read Part 3, click here.
Should You Pay the Ransom?
It’s both incredible and intimidating to think that the Affiliate committed 5 brutal attacks on organizations across the United States and beyond over the span of a few weeks. It’s also one of the reasons why organizations should always, no matter the circumstances, refuse to pay the ransom ransomware gangs demand.
Imagine, this is just what one person was able to accomplish in a very short period of time. What if NetWalker has 10 affiliates? Or 100? 1,000? The amount of damage one ransomware gang is able to orchestrate quickly adds up, which is why you don’t want to responsible for their pay-day.
Even if you cooperate, we shouldn’t assume that a criminal organization will be true to their word, nothing is holding them responsible for restoring your encrypted files. There is also a high probably that they have made a copy of the data that they can use in future attacks against the organization, or they can post that information on the dark web, regardless of payment. The best thing you can do is follow through with your incidence response plan.
The Organizations Targeted by the Affiliate
This is exactly what the first organization Sebastien Vachon Desjardins targeted did. The FBI report that around May 1, 2020, a telecommunications company headquartered in Florida became aware that their network had been compromised by NetWalker Ransomware. NetWalker demanded a ransom of $300,000 USD in Bitcoin, which the targeted organization refused to pay. A FBI unsealed document reveals that the targeted organization claims to have spent approximately $1.2 million USD in restorations. The organization was targeted through their Pulse Secure Virtual Private Network (VPN). Through their forensic analysis, it was revealed that an international server, which would later be identified as Poland Server #1, had been used to gain this access.
A little over a week later, around May 8, 2020, the second organization was attacked by the Affiliate. The educational institution became aware that it had been the target of a NetWalker ransomware attack in the same way the telecommunications company had through a ransom note on one or more of their workstations. However, the second targeted organization did not find out the ransom demanded as they didn’t visit the NetWalker Tor Panel. Through forensic analysis, the FBI concluded that the same international server had been used to gain unauthorized access to the company’s Secure Pulse VPN.
By this point, the FBI were monitoring Poland Server #1 and anticipated another attack. Just a few days later, on May 13, 2020, they observed a new build on the server for a transport logistics company headquartered in France. Unfortunately, they didn’t contact French officials in time, and the attack was executed. The third targeted organization received the ransom note notifying them that their data had been encrypted on May 15, 2020, for an initial ransom of $50,000 USD in Bitcoin, which was later increased to a staggering $2 million USD in Bitcoin, which the organization did not pay.
Around this time, FBI investigators covering the attack observed a post on the NetWalker Blog which stated that the data stolen from the transport logistics company would be published online on May 30, 2020, with an accompanying screenshot to prove that they weren’t bluffing. True to their word, on May 30 the organization’s data was leaked on the NetWalker Blog. It wasn’t until this point that the FBI began to monitor and build the case more in depth, so it’s possible that the other two attacks could have had their data leaked as well, though it isn’t mentioned in the FBI report.
Up until now, none of the 3 organizations targeted by the Affiliate had paid the ransom, meaning that, if these were the only organizations that had been targeted, the Affiliate hadn’t actually made any money from the ransomware attacks. That changed with the fourth organization targeted, an education institution headquartered California. The organization was targeted around June 3, 2020, and ultimately ended up paying $1.4 million USD in Bitcoin.
Unfortunately, just 5 days later, their data was leaked on the NetWalker Blog. Unlike with the previous targeted organizations, it was revealed that a second international server (Poland Server #2) was responsible for this attack.
Although it occurred before the fourth attack, the FBI classify the attack against this targeted organization last as it was discovered after the first 4. While the other 4 attacks were discovered through the international servers, the fifth one was discovered through a ransomware payment in one of the Affiliate’s multiple email addresses. We’ll fully explain how the FBI began tracking the email addresses and were able to link them back to the Affiliate in Part 5; but for now, we’ll just cover how one email allowed the FBI to identify a fifth victim.
The fifth targeted organization, an education company headquartered in Washington, is believed to have been attacked in May of 2020. They ultimately ended up paying close to 10.5 Bitcoin (about $94,877 USD). Through investigating an email account which belongs to the Affiliate, FBI investigators found that he received about $72,374 USD for this ransomware attack – a pretty hefty cut for an affiliate. FBI investigators also discovered a build relating to this attack on Poland Server #1, along with 5 screenshots the Affiliate had created associated with the stolen data from the organization.
Stay tuned for Part 5 of the Affiliate series where we’ll start to crack down on how the FBI investigators started to track down Vachon Desjardins through the international servers and email addresses.
The More You Know
Understanding what motivates criminals, who they are and how they work is a vital part of building a more resilient organization. It helps make cybersecurity more real for everyday people and helps individuals and organizations develop plans to better protect themselves from cyber threats. Please consider sharing this series to help more people understand 21st-century crime and how to protect themselves.
Un véritable cybercrime : l’histoire de l’affilié - 4e partie
25 mars
Bienvenue à la quatrième partie de l’histoire de l’affilié, un véritable cybercrime. Dans les billets de blogue précédents, nous avons examiné comment fonctionne un groupe criminel organisé qui utilise des rançongiciels, comment une organisation découvre qu’elle a été la cible d’une attaque de rançongiciel NetWalker, comment on devient un affilié NetWalker et tout ce que vous devez savoir sur les serveurs internationaux. Dans ce billet de blogue, nous examinerons les différentes organisations ciblées par l'affilié sur une période de quelques semaines.
Pour lire la première partie, cliquez ici.
Pour lire la deuxième partie, cliquez ici.
Pour lire la troisième partie, cliquez ici.
Devriez-vous payer la rançon?
Il est à la fois incroyable et intimidant de penser que l’affilié a commis cinq attaques brutales contre des organisations à travers les États-Unis et au-delà en l’espace de quelques semaines. C’est aussi l’une des raisons pour lesquelles les organisations devraient toujours, quelles que soient les circonstances, refuser de payer la rançon demandée par les groupes qui utilisent des rançongiciels.
Imaginez, ces attaques montrent ce qu’une seule personne peut accomplir en si peu de temps. Que se passe-t-il si NetWalker a 10 affiliés? Ou 100? Ou 1000? Le montant des dommages qu’un groupe criminel est capable de causer grâce aux rançongiciels monte rapidement, c’est pourquoi vous ne voulez pas être responsable de leur jour de paie.
Même si vous coopérez avec les criminels, vous ne pouvez jamais supposer que ceux-ci seront fidèles à leur parole, car rien ne les tient responsables de la restauration de vos fichiers cryptés. Il est aussi hautement probable qu’ils ont fait une copie des données qu’ils peuvent ensuite utiliser dans de futures attaques contre l’organisation; ils peuvent aussi publier ces informations sur le Web clandestin, indépendamment du paiement. La meilleure chose que vous puissiez faire est de suivre votre plan de réponse en cas d’incident.
Les organisations ciblées par l’affilié
C’est exactement ce qu’a fait la première organisation ciblée par Sébastien Vachon Desjardins. Le FBI rapporte qu’au début du mois de mai 2020, une société de télécommunications dont le siège social est situé en Floride a appris que son réseau avait été compromis par le rançongiciel NetWalker. NetWalker a exigé une rançon de 300 000 $ US en Bitcoin, que l’organisation ciblée a refusé de payer. Un document divulgué par le FBI révèle que l’organisation ciblée affirme avoir dépensé environ 1,2 million $US en frais de restauration. L’organisation a été ciblée par le biais de son réseau privé virtuel (RPV) Pulse Secure. Grâce à une analyse médico-légale, il a été révélé qu’un serveur international, qui serait plus tard identifié comme Poland Server #1, avait été utilisé pour obtenir cet accès.
Un peu plus d’une semaine plus tard, vers le 8 mai 2020, une deuxième organisation a été attaquée par l’affilié. L’établissement d’enseignement a appris qu’il avait été la cible d’une attaque au rançongiciel NetWalker de la même manière que l’entreprise de télécommunications, soit par le biais d’une note de rançon sur un ou plusieurs postes de travail. Cependant, la deuxième organisation ciblée n’a pas découvert le montant de la rançon demandée, car elle n’a pas visité le panneau Tor de NetWalker. Grâce à une analyse médico-légale, le FBI a conclu que le même serveur international avait été utilisé pour obtenir un accès non autorisé au RPV Pulse Secure de l’organisation.
À ce stade, le FBI surveillait le premier serveur polonais et anticipait une autre attaque. Quelques jours plus tard, le 13 mai 2020, ils ont observé une nouvelle construction sur le serveur pour une entreprise de logistique de transport française. Malheureusement, ils n’ont pas contacté les autorités françaises à temps, et l’attaque a été lancée. La troisième organisation ciblée a reçu la note de rançon l’informant que ses données avaient été cryptées le 15 mai 2020, pour une rançon initiale de 50 000 $US en Bitcoin, qui a ensuite été augmentée à un montant stupéfiant de 2 millions $US en Bitcoin, que l’organisation n’a pas payé.
À ce moment, les enquêteurs du FBI qui suivaient l’attaque ont observé un billet sur le blogue NetWalker qui indiquait que les données volées à la société de logistique de transport seraient publiées en ligne le 30 mai 2020, avec une capture d’écran accompagnant le message pour prouver que les criminels ne bluffaient pas. Fidèles à leur parole, le 30 mai, les données de l’organisation ont été divulguées sur le blogue NetWalker. Ce n’est qu’à ce moment-là que le FBI a commencé à surveiller l’affaire plus en profondeur; il est donc possible que les données tirées des deux premières attaques aient été divulguées, bien que cela ne soit pas mentionné dans le rapport du FBI.
Jusqu’à présent, aucune des trois organisations ciblées par l’affilié n’avait payé la rançon, ce qui signifie que, si c’étaient les seules organisations qui avaient été ciblées, l’affilié n’avait pas réellement fait de profit de ces attaques au rançongiciel. La situation a changé avec la quatrième organisation ciblée, un établissement d’enseignement dont le siège social se situe en Californie. L’organisation a été ciblée vers le 3 juin 2020 et a finalement payé une rançon de 1,4 million $US en Bitcoin.
Malheureusement, seulement cinq jours plus tard, leurs données ont été divulguées sur le blogue NetWalker. Contrairement aux organisations ciblées précédentes, il a été révélé qu’un deuxième serveur international (Poland Server #2) était derrière de cette attaque.
Bien qu’elle se soit produite avant la quatrième attaque, le FBI classe l’attaque contre cette organisation en dernier, car elle a été découverte après les quatre premières. Alors que les quatre autres attaques ont été découvertes via les serveurs internationaux, la cinquième a été découverte via un paiement de rançon dans l’une des multiples adresses courriel de l’affilié. Nous expliquerons en détail comment le FBI a commencé à suivre les adresses courriel et a pu les lier à l’affilié dans la cinquième partie; mais pour l’instant, nous allons simplement examiner comment une adresse courriel a permis au FBI d’identifier une cinquième victime.
La cinquième organisation ciblée, une société d’éducation de Washington, aurait été attaquée en mai 2020. Ils ont finalement fini par payer près de 10,5 Bitcoins, soit environ 94 877 $ US. En enquêtant sur un compte de messagerie qui appartient à l’affilié, les enquêteurs du FBI ont découvert qu’il avait reçu environ 72 374 $US pour cette attaque au rançongiciel, une assez bonne prise pour un affilié. Les enquêteurs du FBI ont également découvert une construction liée à cette attaque sur Poland Server #1, ainsi que cinq captures d’écran que l’affilié avait créées et qui étaient associées aux données volées à l’organisation.
Restez à l’affût pour la cinquième partie de la série de billets de blogues sur l’affilié où nous examinerons la façon dont les enquêteurs du FBI ont commencé à traquer Vachon Desjardins par le biais des serveurs internationaux et d’adresses courriel.
Plus vous en savez
Comprendre ce qui motive les criminels, qui ils sont et comment ils travaillent est essentiel pour assurer la résilience des organisations. S’informer contribue à rendre la cybersécurité plus tangible pour les gens ordinaires et permet aux individus et aux organisations d'élaborer des plans pour mieux se protéger contre les menaces en ligne. Partagez cette série pour aider plus de gens à comprendre la criminalité au 21e siècle et apprendre comment se protéger.
Cyber True Crime: El Afiliado Parte 4
25 de marzo
Le damos la bienvenida de nuevo a la Parte 4 El Afiliado de la serie Cyber True Crime. En entradas de blogs anteriores, vimos cómo opera normalmente una banda de ransomware, cómo una organización descubre que ha sido objetivo de un ataque de ransomware NetWalker, cómo uno se convierte en un afiliado de NetWalker y todo lo que necesita saber sobre los servidores internacionales. En esta entrega, cubriremos las organizaciones a las que se dirigió el Afiliado en el lapso de unas pocas semanas.
Para leer la Parte 1, haga clic aquí.
Para leer la Parte 2, haga clic aquí.
Para leer la Parte 3, haga clic aquí.
¿Debería pagar el rescate?
Es increíble e intimidante a la vez pensar que el Afiliado cometió 5 ataques brutales contra organizaciones en los Estados Unidos y más allá en el lapso de unas pocas semanas. También es una de las razones por las que las organizaciones siempre deben, sin importar las circunstancias, negarse a pagar el rescate que exigen las bandas de ransomware.
Imagínese, esto es tan solo lo que una persona fue capaz de lograr en muy poco tiempo. ¿Qué pasa si NetWalker tiene 10 afiliados? ¿O 100? ¿1000? El daño que una banda de ransomware puede orquestar se suma rápidamente, por lo que no querrá ser responsable de sus nóminas.
Incluso si coopera, no debemos asumir que una organización criminal será fiel a su palabra, nada los hace responsables de restaurar sus archivos cifrados. También hay una probabilidad de que hayan hecho una copia de los datos que pueden usar en futuros ataques contra la organización, o podrán publicar esa información en la web oscura, independientemente de si se les ha hecho el pago que solicitaban. Lo mejor que puede hacer es seguir adelante con su plan de respuesta a la incidencia.
Las organizaciones que ataca el Afiliado
Esto es exactamente lo que hizo la primera organización que Sebastien Vachon Desjardins atacó. El FBI informa que alrededor del 1.° de mayo de 2020, una compañía de telecomunicaciones con sede en Florida se dio cuenta de que su red había sido comprometida por NetWalker Ransomware. NetWalker exigió un rescate de 300,000 USD en Bitcoin, que la organización objetivo se negó a pagar. Un documento revelado por el FBI revela que la organización objetivo afirma haber gastado aproximadamente 1.2 millones de dólares en restauraciones. La organización fue atacada a través de su Red Privada Virtual (VPN) Pulse Secure. A través de su análisis forense, se reveló que un servidor internacional, que más tarde se identificaría como el Servidor # 1 de Polonia, se había utilizado para obtener este acceso.
Poco más de una semana después, alrededor del 8 de mayo de 2020, la segunda organización fue atacada por el Afiliado. La institución educativa se dio cuenta de que había sido blanco de un ataque de ransomware NetWalker de la misma manera que la empresa de telecomunicaciones lo había hecho a través de una nota de rescate en una o más de sus estaciones de trabajo. Sin embargo, la segunda organización objetivo no descubrió el rescate exigido ya que no visitaron el Panel NetWalker Tor. A través del análisis forense, el FBI concluyó que el mismo servidor internacional se había utilizado para obtener acceso no autorizado a la VPN Secure Pulse de la compañía.
En este punto, el FBI estaba monitoreando el Servidor # 1 de Polonia y previó otro ataque. Solo unos días después, el 13 de mayo de 2020, observaron una nueva construcción en el servidor para una empresa de logística de transporte con sede en Francia. Desafortunadamente, no contactaron a los funcionarios franceses a tiempo, y el ataque fue ejecutado. La tercera organización objetivo recibió la nota de rescate notificándoles que sus datos habían sido encriptados el 15 de mayo de 2020, y les pedían un rescate inicial de 50,000 USD en Bitcoin, que luego se aumentó a la asombrosa cantidad de 2 millones de USD en Bitcoin, que la organización no pagó.
En esos momentos, los investigadores del FBI que cubrían el ataque observaron una publicación en el blog de NetWalker que afirmaba que los datos robados de la compañía de logística de transporte se publicarían en línea el 30 de mayo de 2020, con una captura de pantalla adjunta para demostrar que no estaban fanfarroneando. Cumpliendo su palabra, el 30 de mayo los datos de la organización se filtraron en el Blog de NetWalker. No fue hasta este punto que el FBI comenzó a monitorear y construir el caso más en profundidad, por lo que es posible que en los otros dos ataques también se hayan filtrado datos, aunque no se menciona en el informe del FBI.
Hasta ahora, ninguna de las 3 organizaciones atacadas por el Afiliado había pagado el rescate, lo que significa que, si estas eran las únicas organizaciones que habían sido atacadas, el Afiliado en realidad no había ganado dinero con los ataques de ransomware. Eso cambió con la cuarta organización objetivo, una institución educativa con sede en California. La organización fue atacada alrededor del 3 de junio de 2020 y, en última instancia, terminó pagando 1.4 millones de dólares en Bitcoin.
Desafortunadamente, solo 5 días después, sus datos se filtraron en el blog de NetWalker. A diferencia de las organizaciones objetivo anteriores, se reveló que un segundo servidor internacional (el Servidor # 2 de Polonia) fue responsable de este ataque.
Aunque ocurrió antes del cuarto ataque, el FBI clasifica el ataque contra esta organización objetivo en último lugar, ya que se descubrió después de los primeros 4. Mientras que los otros 4 ataques se descubrieron a través de los servidores internacionales, el quinto se descubrió a través de un pago de ransomware en una de las múltiples direcciones de correo electrónico del Afiliado. Explicaremos completamente cómo el FBI comenzó a rastrear las direcciones de correo electrónico y pudo vincularlas al Afiliado en la Parte 5; pero por ahora, solo cubriremos cómo fue que un correo electrónico permitió al FBI identificar a una quinta víctima.
Se cree que la quinta organización atacada, una institución educativa con sede en Washington, fue atacada en mayo de 2020. Finalmente terminaron pagando cerca de 10.5 Bitcoin (alrededor de 94,877 USD). A través de la investigación de una cuenta de correo electrónico que pertenece al Afiliado, los investigadores del FBI descubrieron que recibió alrededor de 72,374 USD por este ataque de ransomware, una tajada bastante grande para un afiliado. Los investigadores del FBI también descubrieron una compilación relacionada con este ataque en el Servidor # 1 de Polonia, junto con 5 capturas de pantalla que el Afiliado había creado asociadas con los datos robados de la organización.
Estén atentos a la Parte 5 de la serie del Afiliado, donde empezaremos a ver cómo los investigadores del FBI comenzaron a rastrear a Vachon Desjardins a través de los servidores internacionales y las direcciones de correo electrónico.
Cuanto más sepa
Comprender qué motiva a los delincuentes, quiénes son y cómo trabajan es una parte vital de la construcción de una organización más resistente. Ayuda a que la ciberseguridad sea más real para la gente común y ayuda a las personas y organizaciones a desarrollar planes para protegerse mejor de las amenazas cibernéticas. Por favor, considere compartir esta serie para ayudar a más personas a entender el crimen del siglo XXI y cómo protegerse.