Welcome back to Part 5 of the Cyber True Crime series The Affiliate. In past blogs, we covered the history of NetWalker, how a RaaS ransomware gang functions, how Sebastien Vachon Desjardins, or the Affiliate, attempted to hide his criminal activity through international servers and in our last blog the organizations he targeted in his attacks. In this installment, we’ll begin to unravel how the FBI began tracking the Affiliate down through the international servers and his multiple email addresses.

If you missed Part 1, click here.

If you missed Part 2, click here.

If you missed Part 3, click here.

If you missed Part 4, click here.

SERVERS

What does it take to track down a cybercriminal, especially one that uses multiple methods to conceal their identity? Well, like most criminals, it takes making a mistake here or there that helps authorities begin to understand who they are, where they may be operating from and how to catch them.

As we covered in Part 3, the Affiliate made a number of such mistakes. The first mistake he made that helped the FBI begin to track him down was selecting countries to house his international servers that had Mutual Legal Assistance Treaties with the United States.

As FBI investigators continued to research Poland Server #1, they found that around the times of the attacks on the first two targeted organizations, Poland Server #1 had unauthorized access to their networks. Of the 12 builds found on Poland Server #1, 2 could be associated with the targeted organizations #1 and #2.

It was Poland Server #2 that really helped investigators connect the international servers to the Affiliate and determine his identity. Through the discovery of a file named “2png,” investigators found screenshots of several files, which, according to their metadata, the Affiliate had created or modified around June of 2020.

Poland Server #2 also housed information directly connected to locating the Affiliate. Around June of 2020, Google Chrome’s autofill function showed that the server had saved Vachon Desjardins’ home address in Gatineau, Quebec. Poland Server #2 also contained data of a package Vachon was tracking to his home address which we’ll come back to later.

The web history data on Poland Server #2 provided details as to when the Affiliate became registered on the cybercriminal forum, Hack Forums, where the position for a NetWalker affiliate had been advertised. This server also linked the Affiliate to two email addresses that were responsible for uploading the data stolen from the third and fourth targeted organizations on the NetWalker Blog.

The Bulgaria Server gave FBI investigators essential information into the inner workings of the NetWalker ransomware gang. It contained transactional information on other affiliates, such as when they had been active, how many builds they had generated and that the criminal organization had amassed more than $38 million US dollars in ransom payments. The affiliate this series focuses on had been active since April 13, 2020 and was ranked first among affiliates for Bitcoin earned from ransom payments – more than $15 million US. The FBI also believe that he ranks second in number of builds created with 144 builds.

EMAILS

The Poland Servers housed most of the information needed for connecting the Affiliate with the multiple email addresses used to upload the data of targeted organizations. For the purposes of this blog, we’ll only focus on three email accounts: two using pseudonyms and his personal email featuring his full legal name.

And this is where the Affiliate made a number of small mistakes that ultimately lead FBI investigators right to his doorstep.

Around the time that the third organization was targeted by the Affiliate, investigators found that he was logged into an email account using a pseudonym referencing a moniker used by Gerald Brofloski, a fictional animated character from the TV series South Park on Poland Server #1. A search warrant for that email account was granted and authorities were able to trace it back to Vachon Desjardins. One of the ways authorities were able to connect the email account to the Affiliate was an email sent from this address to an email address bearing his legal name.

Shortly after the pseudonym account’s creation, the account received an email from the Google store noting that an order the Affiliate placed for a Google Home Mini had been shipped to his home address. FBI officials were able to verify that this was Vachon Desjardins’ home address as it matched the address saved by Google Chrome on Poland Server #2. Under this account the accused had also conducted multiple searches for fast food restaurants near his residence in Gatineau, Quebec, further confirming where FBI officials could find him.

Poland Server #1 also helped FBI authorities identify a third email address that could be traced back to the Affiliate. Google provided information that Vachon had registered an email address under the pseudonym Gerald Brofloski, a major indicator that this was Vachon Desjardins as he had used the moniker Brofloski uses in his other email account.

In August of 2020, a search warrant was signed and access to Vachon Desjardins’ personal email was given to FBI investigators. Unfortunately for the Affiliate, this email account contained personal identifiable information such as a photo of him holding his Quebec driver’s license. Vachon Desjardins’ personal email account also contained communications from the Banque Nationale du Canada that listed his name and his known address, and a bill from Bell Canada containing similar information.

Additionally, FBI investigators, as recorded in an unsealed document, describe an email sent from Vachon’s personal email account to his government employee email account. The email contained a link to his resume, which stated that he’s held positions at Public Works and Government Services Canada since 2010. This matches a claim Vachon had made in 2016 on Hack Forums under the pseudonym “Syrius01” that he worked as an IT technician for the Government of Canada. Once the government learned of his side hustle as a ransomware affiliate, his position was terminated.

The Affiliate’s personal email account also linked him to the ransom payment from targeted organization #5.

Stay tuned for Part 6 of The Affiliate where we continue to unravel how Sebastien Vachon Desjardins got caught.

THE MORE YOU KNOW

Understanding what motivates criminals, who they are and how they work is a vital part of building a more resilient organization. It helps make cybersecurity more real for everyday people and helps individuals and organizations develop plans to better protect themselves from cyber threats. Please consider sharing this series to help more people understand 21st-century crime and how to protect themselves.

Un véritable cybercrime : l’histoire de l’affilié - 5e partie

25 avril

Bienvenue à la cinquième partie de l’histoire de l’affilié, un véritable cybercrime. Dans les billets de blogue précédents, nous avons examiné l’histoire de NetWalker, le fonctionnement d’un groupe criminel qui utilise les rançongiciels en tant que logiciel-services, la façon dont Sébastien Vachon Desjardins, ou l’affilié, a tenté de dissimuler ses activités criminelles à travers des serveurs internationaux, et dans notre dernier blogue, les organisations qu’il a ciblées dans ses attaques. Dans ce billet de blogue, nous allons commencer à démêler comment le FBI a commencé à traquer l’affilié à travers les serveurs internationaux et ses multiples adresses courriel.

Si vous avez manqué la partie 1, cliquez ici.

Si vous avez manqué la partie 2, cliquez ici.

Si vous avez manqué la partie 3, cliquez ici.

Si vous avez manqué la partie 4, cliquez ici.

SERVEURS

Que faut-il pour traquer un cybercriminel, en particulier un individu qui utilise plusieurs méthodes pour dissimuler son identité? Eh bien, comme la plupart des criminels, il faut que celui-ci commette une erreur ici ou là, ce qui permet aux autorités à commencer à comprendre à qui ils ont affaire, d’où la personne mène ses opérations et comment l’attraper.

Comme nous l’avons vu dans la troisième partie de cette série, l’affilié a commis un certain nombre de ces erreurs. La première erreur qu’il a commise et qui a permis au FBI de le retrouver a été de choisir d’abriter ses serveurs dans des pays qui ont des traités d’entraide juridique avec les États-Unis.

Alors que les enquêteurs du FBI continuaient à fouiller le contenu du Poland Server #1, ils ont constaté qu’à l’époque des attaques contre les deux premières organisations ciblées, Poland Server #1 avait un accès non autorisé à leurs réseaux. Deux des douze constructions retrouvées sur Poland Server #1 pouvaient être associées à la première et à la deuxième organisation ciblée.

Ce fut Poland Server #2 qui a réellement aidé les enquêteurs à connecter les serveurs internationaux à l’affilié et à déterminer son identité. Grâce à la découverte d’un fichier nommé « 2png », les enquêteurs ont trouvé des captures d’écran de plusieurs fichiers, qui, selon leurs métadonnées, avaient été créés ou modifiés par l’affilié vers le mois de juin 2020.

Poland Server #2 abritait également des informations directement liées à la localisation de l’affilié. Vers le mois de juin 2020, la fonction de remplissage automatique de Google Chrome a montré que le serveur avait sauvegardé l’adresse domiciliaire de Vachon Desjardins à Gatineau, au Québec. Poland Server #2 contenait également des données à propos d’un colis que Vachon suivait à son adresse domiciliaire sur laquelle nous reviendrons plus tard.

Les données de l’historique Web sur Poland Server #2 ont fourni des détails sur le moment où l’affilié s’est inscrit sur le forum cybercriminel, Hack Forums, où le poste d’un affilié NetWalker avait été annoncé. Ce serveur a également lié l’affilié à deux adresses courriel qui étaient responsables du téléchargement des données volées à la troisième et à la quatrième organisation ciblée sur le blogue NetWalker.

Le serveur bulgare a donné aux enquêteurs du FBI des informations essentielles sur le fonctionnement interne du groupe criminel NetWalker. Il contenait des informations transactionnelles sur d’autres affiliées, telles que le moment où ces derniers avaient été actifs ou le nombre de constructions générées par ceux-ci. Le serveur révélait aussi que l’organisation criminelle avait amassé plus de 38 millions de dollars américains en paiements de rançon. L’affilié sur qui cette série se concentre était actif depuis le 13 avril 2020 et a été classé comme l’affilié le plus productif pour le paiement de rançons en Bitcoins, soit plus de 15 millions de dollars américains. Le FBI croit également qu’il se classe deuxième en nombre de constructions créées, avec 144 constructions.

COURRIELS

Les serveurs polonais abritaient la plupart des informations nécessaires pour lier l’affilié à de multiples adresses courriel utilisées pour télécharger les données des organisations ciblées. Pour les besoins de ce billet de blogue, nous ne nous concentrerons que sur trois comptes de messagerie : deux utilisant des pseudonymes ainsi que son adresse de messagerie personnelle comprenant son nom légal complet.

Et c’est là que l’affilié a fait un certain nombre de petites erreurs qui ont finalement conduit les enquêteurs du FBI jusqu’au pas de sa porte.

À peu près au moment où l’affilié a ciblé la troisième organisation, les enquêteurs ont découvert sur Poland Server #1 qu’il était connecté à un compte de messagerie en utilisant un pseudonyme faisant référence à un surnom utilisé par Gerald Brofloski, un personnage d’animation fictif de la série télévisée South Park. Un mandat de perquisition pour ce compte de courriel a été accordé et les autorités ont pu remonter jusqu’à Vachon Desjardins. L’une des façons dont les autorités ont pu connecter le compte de messagerie à l’affilié était un courriel envoyé de cette adresse à une adresse courriel portant son nom légal.

Peu de temps après la création du compte pseudonyme, le compte a reçu un courriel du Google Store indiquant qu’une commande passée par l’affilié pour un Google Home Mini avait été expédiée à son adresse personnelle. Les responsables du FBI ont pu vérifier qu’il s’agissait de l’adresse domiciliaire de Vachon Desjardins, car elle correspondait à l’adresse enregistrée par Google Chrome sur Poland Server #2. À partir de ce compte de messagerie, l’accusé avait également effectué de multiples recherches sur des établissements de restauration rapide près de sa résidence de Gatineau, au Québec, confirmant au FBI l’endroit où le trouver.

Poland Server #1 a également aidé les autorités du FBI à identifier une troisième adresse courriel qui leur a permis de remonter jusqu’à l’affilié. Google a fourni des informations selon lesquelles Vachon avait enregistré une adresse courriel sous le pseudonyme de Gerald Brofloski, indice important pour prouver qu’il s’agissait de Vachon Desjardins, car il avait déjà utilisé le pseudonyme « Brofloski » pour un autre compte de courriel.

En août 2020, un mandat de perquisition a été signé et les enquêteurs du FBI ont pu obtenir l’accès au compte de messagerie personnel de Vachon Desjardins. Malheureusement pour l’affilié, ce compte de courriel contenait des renseignements personnels identifiables tels qu’une photo de lui avec son permis de conduire du Québec en main. Le compte de courriel personnel de Vachon Desjardins contenait également des communications de la Banque Nationale du Canada qui indiquaient son nom et son adresse connue, ainsi qu’une facture de Bell Canada contenant des renseignements semblables.

De plus, les enquêteurs du FBI, tels qu’ils sont consignés dans un document divulgué publiquement, décrivent un courriel envoyé à partir du compte de courriel personnel de Vachon à son compte de courriel d’employé du gouvernement. Le courriel contenait un lien vers son curriculum vitae, qui indiquait qu’il travaillait à Services publics et Approvisionnement Canada depuis 2010. Cela correspond à une affirmation que Vachon avait faite en 2016 sur Hack Forums sous le pseudonyme de « Syrius01 » selon laquelle il travaillait comme technicien en TI pour le gouvernement du Canada. Une fois que le gouvernement a appris qu’il était un affilié qui utilise des rançongiciels, il a été renvoyé.

Le compte de messagerie personnel de l’affilié l’a également lié au paiement de la rançon pour la cinquième organisation ciblée.

Restez à l’affût pour la sixième partie de cette série sur l’affilié où nous continuons à démêler comment Sébastien Vachon Desjardins s’est fait prendre.

PLUS VOUS EN SAVEZ

Comprendre ce qui motive les criminels, qui ils sont et comment ils travaillent est essentiel pour assurer la résilience des organisations. S’informer contribue à rendre la cybersécurité plus tangible pour les gens ordinaires et permet aux individus et aux organisations d'élaborer des plans pour mieux se protéger contre les menaces en ligne. Partagez cette série pour aider plus de gens à comprendre la criminalité au 21e siècle et apprendre comment se protéger.

Cyber True Crime: El Afiliado Parte 5

25 de abril

Le damos la bienvenida de nuevo a la Parte 5 El Afiliado de la serie Cyber True Crime. En entradas de blog anteriores, cubrimos la historia de NetWalker, cómo funciona una banda de ransomware RaaS, cómo Sebastien Vachon Desjardins, o el Afiliado, intentó ocultar su actividad criminal a través de servidores internacionales y en nuestro última entrada de blog las organizaciones a las que dirigió sus ataques. En esta entrega, comenzaremos a desentrañar cómo el FBI comenzó a rastrear al Afiliado a través de los servidores internacionales y sus múltiples direcciones de correo electrónico.

Si se perdió la Parte 1, haga clic aquí.

Si se perdió la Parte 2, haga clic aquí.

Si se perdió la Parte 3, haga clic aquí.

Si se perdió la Parte 4, haga clic aquí.

SERVIDORES

¿Qué se necesita para rastrear a un ciberdelincuente, especialmente uno que utiliza múltiples métodos para ocultar su identidad? Bueno, como la mayoría de los delincuentes, se necesita cometer un error aquí o allá que ayude a las autoridades a comenzar a comprender quiénes son, desde dónde pueden estar operando y cómo atraparlos.

Como vimos en la Parte 3, el Afiliado cometió una serie de errores. El primer error que cometió que ayudó al FBI a comenzar a rastrearlo fue seleccionar países para albergar a sus servidores internacionales que tenían Tratados de Asistencia Jurídica Mutua con los Estados Unidos.

A medida que los investigadores del FBI continuaron investigando el Servidor # 1 de Polonia, descubrieron que en los tiempos de los ataques a las dos primeras organizaciones objetivo, el Servidor # 1 de Polonia había tenido accesos no autorizados a sus redes. De las 12 compilaciones encontradas en Servidor # 1 de Polonia, dos podrían estar asociadas con las organizaciones objetivo # 1 y # 2.

Fue el Servidor # 2 de Polonia el que realmente ayudó a los investigadores a vincular los servidores internacionales con el Afiliado y determinar su identidad. A través del descubrimiento de un archivo llamado "2png", los investigadores encontraron capturas de pantalla de varios archivos, que, según sus metadatos, el Afiliado había creado o modificado alrededor de junio de 2020.

El Servidor # 2 de Polonia también albergaba información directamente relacionada con la localización del Afiliado. Alrededor de junio de 2020, la función de autocompletar de Google Chrome mostró que el servidor había guardado la dirección de la casa de Vachon Desjardins en Gatineau, Quebec. El Servidor # 2 de Polonia también contenía datos de un paquete que Vachon estaba rastreando a su domicilio y al que volveremos más adelante.

Los datos del historial web en El Servidor # 2 de Polonia proporcionaron detalles sobre cuándo el Afiliado se registró en el foro de ciberdelincuentes, Hack Forums, donde se había anunciado la vacante para un afiliado de NetWalker. Este servidor también vinculó al Afiliado a dos direcciones de correo electrónico que fueron responsables de cargar los datos robados de la tercera y cuarta organizaciones objetivo en el Blog de NetWalker.

El servidor de Bulgaria dio a los investigadores del FBI información esencial sobre el funcionamiento interno de la banda de ransomware NetWalker. Contenía información transaccional sobre otros afiliados, como cuándo habían estado activos, cuántas construcciones habían generado y que la organización criminal había acumulado más de 38 millones de dólares estadounidenses en pagos de rescate. El afiliado en el que se centra esta serie había estado activo desde el 13 de abril de 2020 y ocupó el primer lugar entre los afiliados de Bitcoin ganados por pagos de rescate: más de 15 millones de dólares. El FBI también cree que ocupa el segundo lugar en número de compilaciones creadas con 144 compilaciones.

CORREOS ELECTRÓNICOS

Los servidores de Polonia albergaban la mayor parte de la información necesaria para vincular al Afiliado con las múltiples direcciones de correo electrónico utilizadas para cargar los datos de las organizaciones objetivo. Para los fines de este blog, solo nos centraremos en tres cuentas de correo electrónico: dos con seudónimos y su correo electrónico personal con su nombre legal completo.

Y aquí es donde el Afiliado cometió una serie de pequeños errores que finalmente llevaron a los investigadores del FBI directamente a su puerta.

Cuando el Afiliado atacó la tercera organización, los investigadores descubrieron que había iniciado sesión en una cuenta de correo electrónico utilizando un seudónimo que hacía referencia a un apodo utilizado por Gerald Brofloski, un personaje animado ficticio de la serie de televisión South Park en el Servidor # 1 de Polonia. Se otorgó una orden de registro para esa cuenta de correo electrónico y las autoridades pudieron rastrearla y dar con Vachon Desjardins. Una de las formas en que las autoridades pudieron vincular la cuenta de correo electrónico al Afiliado fue un correo electrónico enviado desde esta dirección a una dirección de correo electrónico con su nombre legal.

Poco después de la creación de la cuenta del seudónimo, la cuenta recibió un correo electrónico de la tienda de Google que indicaba que un pedido de un Google Home Mini realizado por el Afiliado había sido enviado a su domicilio. Los funcionarios del FBI pudieron verificar que esta era la dirección de la casa de Vachon Desjardins, ya que coincidía con la dirección guardada por Google Chrome en el Servidor # 2 de Polonia. En esta cuenta, el acusado también había realizado múltiples búsquedas de restaurantes de comida rápida cerca de su residencia en Gatineau, Quebec, confirmando aún más dónde podrían encontrarlo los funcionarios del FBI.

el Servidor # 1 de Polonia también ayudó a las autoridades del FBI a identificar una tercera dirección de correo electrónico que podría rastrearse hasta el Afiliado. Google proporcionó información según la cual Vachon había registrado una dirección de correo electrónico bajo el seudónimo de Gerald Brofloski, un indicador importante de que se trataba de Vachon Desjardins, ya que había utilizado el apodo que Brofloski usaba en su otra cuenta de correo electrónico.

En agosto de 2020, se firmó una orden de registro y se dio acceso al correo electrónico personal de Vachon Desjardins a los investigadores del FBI. Desafortunadamente para el Afiliado, esta cuenta de correo electrónico contenía información de identificación personal, como una foto de él sosteniendo su licencia de conducir de Quebec. La cuenta de correo electrónico personal de Vachon Desjardins también contenía comunicaciones de la Banque Nationale du Canada que contenían su nombre y su dirección, y una cuenta de Bell Canada que contenía información similar.

Además, los investigadores del FBI, como se registra en un documento no sellado, describen un correo electrónico enviado desde la cuenta de correo electrónico personal de Vachon a su cuenta de correo electrónico de empleado del gobierno. El correo electrónico contenía un enlace a su currículum, que indicaba que había ocupado cargos en Obras Públicas y Servicios Gubernamentales de Canadá desde el 2010. Esto coincidía con una afirmación que Vachon había hecho en 2016 en Hack Forums bajo el seudónimo de "Syrius01" de que trabajaba como técnico de TI para el Gobierno de Canadá. En cuanto el gobierno se enteró de su ocupación secundaria como afiliado de ransomware, fue despedido.

La cuenta de correo electrónico personal del Afiliado también lo vinculó con el pago del rescate de la organización objetivo # 5.

Estén atentos a la Parte 6 de El Afiliado, donde seguimos desentrañando cómo Sebastien Vachon Desjardins fue atrapado.

CUANTO MÁS SEPA

Comprender qué motiva a los delincuentes, quiénes son y cómo trabajan es una parte vital de la construcción de una organización más resistente. Ayuda a que la ciberseguridad sea más real para la gente común y ayuda a las personas y organizaciones a desarrollar planes para protegerse mejor de las amenazas cibernéticas. Por favor, considere compartir esta serie para ayudar a más personas a entender el crimen del siglo XXI y cómo protegerse.