ABD Adalet Bakanlığı (DOJ), Bulgar yetkililerle işbirliği yaparak tanınmış bir fidye yazılımı çetesinin altyapısını bozdu. Kolluk kuvvetleri, Chainalysis aracılığıyla blockchain adındaki analitik yardımıyla sunucularını ele geçirdi ve yasadışı fonları izledi.
ABD Yetkilileri 454.000 Doların Üzerinde Kripto Para Birimine El Kondu
ABD Adalet Bakanlığı’nın duyurusuna göre, eşgüdümlü eylem, geçtiğimiz yıl özellikle sağlık sektörünü hedefleyen oldukça aktif bir fidye yazılımı grubu olan Netwalker’ı devre dışı bıraktı.
ABD yetkilileri ayrıca “Netwalker üyesi” olarak bilinen kişinin 27,6 milyon dolar kazandığını iddia etti ve Kanada vatandaşı olan Sebastien Vachon-Desjardins’i suçladı.
Yetkililer, çetenin kurbanlarını fidye görüşmelerini ayarlamak için yönlendirdiği karanlık ağ sunucusuna da el koydu. Ayrıca ABD DOJ yetkilileri fidye ödemelerinden elde edilmiş olan toplam kripto para değeri 454.530,19 dolar ele geçirildiğini açıkladı.
Blok zinciri analizinin desteğiyle kolluk kuvvetleri, Netwalker işlemlerini izlemek için Chainalysis’in araştırma araçlarından yararlandı. Aslında, blockchain firması, Ağustos 2019’da ilk kez sahneye çıktığından bu yana Netwalker çetesine ait toplam 46 milyon dolar değerinde fideye fonunu sürekli izledi.
ABD yetkilileri fidye yazılımı çetesinin yaşamı boyunca, 27 farklı ülkeden 205 kurbanı ABD sınırları içerinde hedef aldığına inanıyor.
Kötü amaçlı yazılım laboratuvarı Emsisoft’ta tehditlere karşı koruma analisti olan Brett Callow, Netwalker’a yönelik eylemler hakkında yorum yaptı:
Fidye yazılımı grupları çok uzun bir süredir neredeyse tam bir dokunulmazlık ile faaliyet gösteriyor, bu da caydırıcı unsurların çok az olduğu anlamına geliyor. Riskler küçükken ödüller çok büyük. Netwalker’a karşı olan eylem bunu değiştirir. Grubun gelir akışını kesintiye uğratmanın yanı sıra, siber suçluların kanunun erişiminin ötesinde olmadığına dair net bir mesaj da veriyor. Bu caydırıcı olur mu? Hayır, ama kesinlikle doğru yönde atılmış bir adım.
Netwalker fidye yazılımı, harici kişilerin fidye yazılımını dağıtabileceği ve gelirlerini çeteyle paylaşabileceği bir bağlı kuruluş şemasıyla çalışır. Chainalysis, blok zinciri analizinin altyapı hakkında ortaya çıkardığı şeyleri detaylandırıyor:
Tipik olarak, Netwalker saldırılarından kazanç elde eden dört adet rol vardır: olası yönetici veya geliştirici (% 8-10), bağlı kuruluş (% 76-80) ve görevlendirilen iki rol (her biri% 2,5 -% 5). Vachon-Desjardins gibi bir bağlı kuruluş, genellikle kurban ağına erişim sağlamaktan ve kötü amaçlı yazılımı dağıtmaktan sorumludur. Bir cüzdan ödemesinin % 100’ünü aldığı ve Netwalker yöneticisine ait olduğuna inandığımız ve kendisinin de bazı saldırılara doğrudan dahil olabileceğini belirttiği durumlar da vardır.
Analitik firma, 20’den az benzersiz bağlı kuruluş olduğunu söylüyor. Bazıları fidye yazılımını nadiren dağıtırken, diğerleri de benzer fidye yazılımı türlerine geçerek faalitlerini sürdürüyor. Bu nedenle, Chainalysis Reactor adlı yetkililer tarafından kullanılan bir araç, bağlı kuruluşların diğer varyantlardan aldığı ödemeleri takip ederek işlemlerini yürütüyor.
Chainalysis, bazı bağlı kuruluşların başka türlere geçtiğini doğrulamak için Netwalker yöneticisinin darknet forumlarında bir reklam yayınladığını öğrendi. Yönetici boş kadrolar “serbest kaldığı” için yeni ortaklar arıyordu.
Şüpheli Netwalker Affiliate’i İzleme
Yetkililerin Vachon-Desjardins’in faaliyetlerini nasıl izlediklerine dair Chainalysis şunları açıkladı:
Blockchain analizi, Vachon-Desjardins ile ilişkili en az 345 adresi ortaya çıkardı ve bu yazının tarihine kadar devam eden işlemlerle Şubat 2018’e geri döndü (27 Ocak 2021). İddiaya göre, fonları alırken 14 milyon dolardan fazla bitcoin aldı ve nihayetinde yükselen değeri göz önüne alındığında en az 27,6 milyon dolara sahip oldu.
Chainalysis hükümet ortaklarına atıfta bulunarak, Vachon-Desjardins’in Nisan 2020’den bu yana Netwalker fidye yazılımını kullanarak en az 91 saldırıya karıştığını ve kötü amaçlı yazılımı, bağlı kuruluşlara dağıttığını ve dahi fidyenin% 80’ini şahsına aldığını iddia ediyor. Analitik firma ayrıca, sözde Netwalker üyesinin diğer fidye yazılımı türlerinin konuşlandırılmasına karıştığından da şüpheleniyor.
THREAD: Here’s a quick summary of our blog on today’s Netwalker disruption, which saw US authorities seize nearly $500K in crypto, disable a key Netwalker dark web resource, and arrest a prolific ransomware affiliate. https://t.co/mrJNiqOY7V https://t.co/IqZYveDfYo
— Chainalysis (@chainalysis) January 27, 2021
ABD yetkililerinin yaklaşık 500.000 $ kripto para ele geçirdiğini, önemli bir Netwalker dark web kaynağını devre dışı bıraktığını ve üretken bir fidye yazılımına bağlı bir kuruluşunu daha tutukladığını açıkladı.
