Hôm nay, Bộ Tư pháp Mỹ (DOJ) đã công bố một hành động thực thi pháp luật quốc tế để phá huỷ phần mềm tống tiền NetWalker.
Các hành động này bao gồm việc thu giữ lượng tiền tiền kỹ thuật số trị giá gần nửa triệu USD, vô hiệu hóa web đen được sử dụng để liên lạc với các nạn nhân ransomware NetWalker và bắt giữ 1 công dân Canada, Sebastien Vachon-Desjardins, người đã kiếm hàng chục triệu USD bằng cách hoạt động như một affiliates của NetWalker.
Trường hợp này nêu bật sự tinh vi mà NetWalker đã vận hành, tác động toàn cầu của các cuộc tấn công ransomware và số tiền đáng kể mà các tội phạm ransomware đánh cắp từ nạn nhân.
Dưới đây là phân tích blockchain về chủng ransomware NetWalker và nêu bật các yếu tố cụ thể để cho thấy cách cơ quan thực thi pháp luật có thể theo dõi các khoản tiền bất hợp pháp.
Sự phát triển ngày càng tinh vi của ransomware
Dữ liệu của Chainalysis cho thấy tổng số tiền mà các nạn nhân của ransomware bị thiệt hại đã tăng 311% vào 2020 đạt giá trị gần 350 triệu USD. Con số này thấp hơn giới hạn của con số thực, vì Chainalysis chưa thể phân loại mọi địa chỉ thanh toán nạn của nhân trong bộ dữ liệu của họ.
NetWalker, hoạt động trên mô hình Ransomware as a Service (RaaS), trong đó những kẻ tấn công được gọi là “affiliates” việc sử dụng một chủng ransomware cụ thể từ những người tạo ra hoặc quản trị viên, nạn nhân bị trừ tiền mỗi khi affiliates thực hiện tấn công thành công. RaaS đã dẫn đến nhiều cuộc tấn công hơn, khiến việc định lượng toàn bộ hệ quả tài chính càng trở nên khó khăn hơn. Nhưng, chúng ta có thể chắc chắn một điều: không có loại tội phạm dựa trên tiền kỹ thuật số nào khác có tốc độ tăng trưởng cao hơn ransomware vào năm 2020.
NetWalker là một chủng ransomware hàng đầu, tính theo doanh thu trong năm 2022, cùng với Ryuk, Maze, Doppelpaymer và Sodinokibi.
Chainalysis đã truy tìm số tiền trị giá hơn 46 triệu USD trong các khoản tiền chuộc NetWalker kể từ khi nó lần đầu xuất hiện vào tháng 8/2019. VẤn nạn này gia tăng đáng kể vào khoảng giữa năm 2020, số tiền chuộc trung bình tăng từ 18,800 USD vào năm 2019 lên 65,000 USD vào 2021.
Theo các nhà chức trách Mỹ, NetWalker đã tác động đến ít nhất 305 nạn nhân từ 27 quốc gia khác nhau, trong đó bao gồm 203 nạn nhân ở Mỹ.
Phân tích blockchain về hoạt động và tài chính của NetWalker
Thông thường, có 4 vai trò nhận tiền thu được từ các cuộc tấn công NetWalker: quản trị viên hoặc nhà phát triển có khả năng (8-10%), đơn vị liên kết (76-80%) và 2 vai trò được ủy quyền (mỗi vai trò 2,5% -5%). Một affiliates, như Vachon-Desjardins, thường chịu trách nhiệm truy cập vào mạng của nạn nhân và triển khai phần mềm độc hại. Cũng có những trường hợp khi một ví nhận được 100% khoản thanh toán, mà chúng tôi tin rằng trách nghiệm này thuộc về quản trị viên NetWalker và người đó cũng có thể liên quan trực tiếp đến một số cuộc tấn công.
Ảnh chụp màn hình này của Chainalysis Reactor cho thấy một chu trình chuyển tiền điển hình từ địa chỉ thanh toán tiền chuộc sang các tác nhân NetWalker khác nhau.
Phân tích cho thấy rằng thực tế có ít hơn 20 affiliates. Trong số các affiliates đó, một số hiếm khi triển khai NetWalker. Một số chuyển sang các chủng RaaS khác và chúng ta có thể sử dụng biểu đồ trên để nhận thấy rằng một số affiliates đã nhận được thanh toán từ các biến thể khác.
Quản trị viên NetWalker, người có biệt danh “Bugatti” trên các diễn đàn darknet, đã đăng một quảng cáo vào tháng 5/2020 trên một diễn đàn tìm kiếm các affiliates biết sử dụng tiếng Nga vào các vị trí tuyển dụng đang thiếu, điều này xác nhận đánh giá của chúng tôi về các affiliates di cư sang các chủng khác.
Phân tích blockchain cũng cho thấy các tác nhân ransomware trả tiền cho các dịch vụ mà họ cần để vận hành doanh nghiệp tội phạm của mình. Ví dụ: chúng ta có thể thấy bên dưới rằng các tác nhân NetWalker đã trả tiền cho dịch vụ lưu trữ đám mây bằng tiền kỹ thuật số.
NetWalker đã tăng cường nỗ lực tống tiền vào tháng 5/2020 bằng cách không chỉ khóa nạn nhân ra khỏi dữ liệu cá nhân của họ mà còn bằng cách đánh cắp nó. Trước khi mã hóa các tệp máy tính trên mạng của nạn nhân, các tác nhân NetWalker bắt đầu đánh cắp dữ liệu và tự động xuất bản dữ liệu nạn nhân trên một trang web rò rỉ nếu tiền chuộc không được trả trước thời hạn.
Sử dụng phân tích blockchain để theo dõi dòng tiền NetWalker
Theo bản cáo trạng, Vachon-Desjardins bị buộc tội cố ý làm hỏng một máy tính được bảo vệ và truyền đi các yêu cầu liên quan đến nó. Điều này liên quan đến một cuộc tấn công ransomware NetWalker chống lại một công ty ở Florida.
Phân tích blockchain đã tiết lộ ít nhất 345 địa chỉ liên quan đến Vachon-Desjardins từ tháng 3/2018 với các giao dịch tiếp tục cho đến ngày 27/1/2021. Anh ta bị cáo buộc đã nhận số Bitcoin trị giá hơn 14 triệu USD, cuối cùng sở hữu ít nhất 27,6 triệu USD do giá trị ngày càng tăng của nó.
Theo các đối tác chính phủ, Vachon-Desjardins đã tham gia vào ít nhất 91 cuộc tấn công bằng cách sử dụng ransomware NetWalker kể từ tháng 4/2020 và bỏ túi 80% số tiền chuộc.
Ngoài NetWalker, Chainalysis nghi ngờ Vachon-Desjardins có liên quan đến việc triển khai các chủng RaaS khác như Sodinokibi, Suncrypt và Ragnarlocker. Điều này là tương đối phổ biến vì chúng ta thường thấy các affiliates di chuyển đến các chủng khác nhau. Ngoài ra, quản trị viên NetWalker Bugatti đã liệt kê bằng chứng về kinh nghiệm hack trước đó như một điều kiện tiên quyết để trở thành affiliates của NetWalker, vì vậy sẽ rất hợp lý khi nói các affiliates như Vachon-Desjardins có một hồ sơ tội án nhiều hơn 1 vụ.
Các biểu đồ Chainalysis Reactor ở trên cho thấy các affiliates của NetWalker tiếp xúc với các chủng ransomware Sodinokibi và Ragnar Locker.
Chính phủ và các bộ ban ngành cần hợp tác
Điều quan trọng là các sàn giao dịch tiền kỹ thuật số và các cơ quan chính phủ tiếp tục làm việc cùng nhau để ngăn chặn các tác nhân ransomware kiếm được lợi nhuận bất chính.
