Канадца посадили на 7 лет за атаки шифровальщика NetWalker

Канадца посадили на 7 лет за атаки шифровальщика NetWalker

Канадца посадили на 7 лет за атаки шифровальщика NetWalker

В Канаде закончился судебный процесс по делу о вымогательстве с использованием программы-шифровальщика NetWalker. Ответчика Себастьяна Вашон-Дежардена (Sebastien Vachon-Desjardins) признали виновным и отправили за решетку на семь лет.

Ныне осужденного арестовали год назад в ходе трансграничной операции, направленной на пресечение деятельности ОПГ, стоящей за NetWalker. На суде канадец признал свою вину по всем вменяемым ему эпизодам вымогательства, взлома компьютеров, кражи данных в составе преступной группы.

Согласно решению суда, которое раздобыл репортер The Record, Вашон-Дежарден состоял в партнерских отношениях с владельцами RaaS-сервиса (Ransomware-as-a-Service, вымогатель как услуга). Атаки с использованием NetWalker этот аффилиат проводил с мая 2020 года вплоть до ареста и совокупно выманил у своих жертв более 2000 биткоинов в качестве выкупа. Из них 1200 он оставил себе, остальное отдал создателям зловреда.

Канадец также учил новичков проводить вымогательские атаки и помогал авторам NetWalker совершенствовать RaaS-сервис — в частности, посоветовал подписаться на услуги по отмыванию криптовалюты (миксинг).

В ходе обыска полиция обнаружила на компьютерах Вашон-Дежардена более 20 Тбайт данных, украденных у жертв с целью оказать на них дополнительное давление (заставить платить под угрозой публикации). В доме было также найдено много наличных — результаты обмена биткоинов, полученных в качестве выкупа.

По оценкам властей, за неполные девять месяцев NetWalker принес пользователю RaaS-сервиса свыше CAD$30 миллионов. В Канаде удалось идентифицировать 17 жертв заражения, совокупно потерявших CAD$2,8 млн. Восьми из них уже определили сумму компенсации, которую преступнику придется выплатить.

Хотя арест вымогателя был произведен по запросу ФБР США, судили его на родине: он там в это время находился под следствием по делу о контрабанде наркотиков. За это преступление его наказали лишением свободы на 4,5 года — как рецидивиста (в 2015 году за аналогичный проступок канадец получил 3,5 года).

Примечательно, что с криминалом Вашон-Дежарден связался отнюдь не из-за нехватки легальных способов заработка. В деле о NetWalker отмечено, что фигурант четыре года работал айтишником в правительстве Канады.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru