Las autoridades estadounidenses y búlgaras tomaron esta semana el control del sitio web oscuro utilizado por el grupo de ciberdelincuencia de ransomware NetWalker para publicar datos robados a sus víctimas.
«Estamos contraatacando la creciente amenaza del ransomware no solo presentando cargos penales contra los actores responsables, sino también interrumpiendo la infraestructura criminal en línea y, siempre que sea posible, recuperando los pagos de rescate extorsionados a las víctimas», dijo el fiscal general adjunto interino Nicholas L. McQuaid de la División Criminal del Departamento de Justicia.
«Las víctimas de ransomware deben saber que presentarse ante las fuerzas del orden público lo antes posible después de un ataque puede generar resultados significativos como los que se logran en la operación multifacética de hoy».
En relación con el derribo, un ciudadano canadiense llamado Sebastien Vachon-Desjardins de la ciudad de Gatineau fue acusado en el estado estadounidense de Florida por extorsionar $ 27,6 millones en criptomonedas de los pagos de rescate.
Por separado, el Servicio Nacional de Investigación de Bulgaria y la Dirección General de Lucha contra el Crimen Organizado incautaron un recurso oculto en la web oscura utilizado por los afiliados del ransomware NetWalker, es decir, grupos de ciberdelincuencia responsables de identificar y atacar a víctimas de alto valor utilizando el ransomware, para proporcionar instrucciones de pago y comunicarse con las víctimas. .
Los visitantes del sitio web ahora serán recibidos por un cartel de incautación que les notificará que las autoridades policiales se han apoderado de él.
Chainalysis, que ayudó en la investigación, dijo que ha «rastreado más de $ 46 millones en fondos en rescates de NetWalker desde que apareció por primera vez en agosto de 2019», y agregó que «cobró fuerza a mediados de 2020, aumentando el promedio rescate a $ 65,000 el año pasado, frente a $ 18,800 en 2019 «.
En los últimos meses, Netwalker surgió como una opción popular de variedad de ransomware además de Ryuk, Maze, Doppelpaymer y Sodinokibi, con numerosas empresas, municipios, hospitales, escuelas y universidades en el punto de mira de los ciberdelincuentes para extorsionar a las víctimas.
Antes del cierre, se dice que el administrador de NetWalker, que se hace llamar «Bugatti» en los foros de la red oscura, publicó un anuncio en mayo de 2020 en busca de afiliados de habla rusa adicionales como parte de una transición a un ransomware-as-a- modelo de servicio (RaaS), utilizando a los socios para comprometer objetivos y robar datos antes de cifrar los archivos.
Los operadores de NetWalker también han sido parte de una creciente tendencia de ransomware llamada doble extorsión, donde los atacantes retienen los datos robados como rehenes y amenazan con publicar la información si el objetivo se niega a pagar el rescate.
«Después de que una víctima paga, los desarrolladores y afiliados dividen el rescate», dijo el Departamento de Justicia de EE. UU. (DoJ).
Los investigadores de Chainalysis sospechan que, además de participar en al menos 91 ataques con NetWalker desde abril de 2020, Vachon-Desjardins ha trabajado como afiliado para otros operadores de RaaS como Sodinokibi, Suncrypt y Ragnarlocker.
La interrupción de NetWalker se produce el mismo día en que las autoridades europeas anunciaron un derribo coordinado dirigido a la red de crimeware como servicio de Emotet. La botnet ha sido utilizada por varios grupos de ciberdelincuencia para implementar malware de segunda etapa, sobre todo Ryuk y TrickBot.
