{"id":243503,"date":"2021-01-28T08:33:04","date_gmt":"2021-01-28T07:33:04","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=243503"},"modified":"2023-04-24T00:26:16","modified_gmt":"2023-04-23T22:26:16","slug":"netwalker-ransomware-darknet-webseite-beschlagnahmt-erste-verhaftungen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/01\/28\/netwalker-ransomware-darknet-webseite-beschlagnahmt-erste-verhaftungen\/","title":{"rendered":"Netwalker Ransomware Darknet Webseite beschlagnahmt, erste Anklage"},"content":{"rendered":"

[English<\/a>]N\u00e4chster Erfolg f\u00fcr die Strafverfolger, denn die haben die Server der Darknet Webseite der Netwalker Ransomware-Gang beschlagnahmt und ein \"Vertriebler\" aus Kanada, m\u00f6glicherweise der Kopf der Gang, aus Kanada angeklagt (ob er verhaftet wurde, ist mir nicht ganz klar, ich vermute es aber).<\/p>\n

<\/p>\n

Ich bin bereits gestern auf den nachfolgenden Tweet<\/a> der Kollegen von Bleeping Computer gesto\u00dfen, die eine Information zur Beschlagnahmung enth\u00e4lt. Die Information zur Beschlagnahme, die in einer international koordinierten Aktion auch in USA und Bulgarien erfolgte, findet sich in dieser Meldung<\/a> des US-Justizministeriums.<\/p>\n

\"Netwalker<\/a><\/p>\n

Hintergrund zu Netwalker<\/h2>\n

Bei Netwalker verfolgen die Hinterm\u00e4nner einen Ransomware as a Service-Ansatz. Das bedeutet, dass die Cyber-Kriminellen die Tools und die Infrastruktur zur Verf\u00fcgung stellen, um Ransomware gegen Erfolgsbeteiligung auf die Opfer der Systeme zu schleusen. Die Gruppe hat in russischen Dark-Web-Foren interessierte Cyberkriminelle dazu eingeladen, Partner zu werden und die Malware zu verbreiten.<\/p>\n

Mit einem Dropper werden die Systeme der Opfer infiziert und die Malware nistet sich ein. Nach Tagen oder Wochen wird dann die eigentliche Ransomware nachgeladen und f\u00fchrt ihre Schadfunktionen wie Verschl\u00fcsselung der Dateien des Opfers und erpressen von L\u00f6segeld aus. Diese Aktion erfolgt im Auftrag der Cyber-Kriminellen, die die Erpressung in Auftrag gegeben haben, wobei die Netwalker Provision kassieren (Affiliate-Modell).<\/p>\n

Die bisher gesammelten Daten deuten darauf hin, dass die Ransomware Netwalker von einer russischsprachigen Gruppe von Hackern erstellt wurde. Diese spezielle Gruppierung operiert unter dem Namen Circus Spider. Leider macht Netwalker mehr, als nur die Daten der Opfer zu verschl\u00fcsseln und L\u00f6segeld zu fordern. Circus Spider ver\u00f6ffentlicht regelm\u00e4\u00dfig Proben der bei der Ransomware-Infektion vor der Verschl\u00fcsselung abgezogenen Daten, um Druck auf die Opfer aufzubauen, es wird behauptet, dass der Rest im Dark Web ver\u00f6ffentlicht werde, wenn das Opfer die Forderungen nicht rechtzeitig erf\u00fcllt. Circus Spider hat die sensiblen Daten eines Opfers in einem passwortgesch\u00fctzten Ordner ins Dark Web geleakt und den Schl\u00fcssel online ver\u00f6ffentlicht, wie die Sicherheitsforscher von Varonis hier schreiben<\/a>.<\/p>\n

Entdeckt wurde die Ransomware erstmals im September 2019, wobei aber Zeitstempel der Ransomware auf Ende August datieren. Urspr\u00fcnglich wurde angenommen, dass es sich um eine Bedrohung der Mailto-Variante handelt, doch inzwischen wurde festgestellt, dass es sich um eine aktualisierte Version davon handelt. Mailto wurde von dem unabh\u00e4ngigen Cybersecurity-Forscher und Twitter-Nutzer GrujaRS<\/a> entdeckt, wie Heimdal Security hier schreibt<\/a>.<\/p>\n

Ich hatte mehrere Blog-Beitr\u00e4ge zu Netwalker-Infektionen hier im Blog ver\u00f6ffentlicht (siehe Links am Artikelende). Den Affiliates wird ein Anteil von bis zu 84 % der Auszahlung angeboten, wenn die Ums\u00e4tze der Vorwoche 300.000 US-Dollar \u00fcbersteigen. Liegt der Verdienst unter dieser Summe, k\u00f6nnen sie immer noch leicht rund 80% des Gesamtwerts erhalten. Der Rest von 16-20% geht an die Gruppe hinter Netwalker. Im Blog-Beitrag Daten von LG, Xeros und Intel geleaked, Canon von Ransomware befallen<\/a> gibt es die Information, dass die Netwalker-Ransomware-Gruppe und deren Auftraggeber in nur f\u00fcnf Monaten, 1. M\u00e4rz 2020, bereits 25 Millionen Dollar von ihren Opfern erpressen konnte.<\/p>\n

Die Ransomware NetWalker hat zahlreiche Opfer betroffen, darunter Unternehmen, Gemeinden, Krankenh\u00e4user, Strafverfolgungsbeh\u00f6rden, Notdienste, Schulbezirke, Hochschulen und Universit\u00e4ten. Die Angriffe zielten w\u00e4hrend der COVID-19-Pandemie speziell auf den Gesundheitssektor ab und nutzten die globale Krise, um Opfer zu erpressen.<\/p>\n

Das Mitmachen bei dieser Gruppe unterliegt jedoch eigenen Regeln. So ist es den Affiliates untersagt, gegen Organisationen in Russland und der Gemeinschaft Unabh\u00e4ngiger Staaten vorzugehen. Au\u00dferdem ist festgelegt, dass Kollaborateure immer die Dateien der Opfer zur\u00fcckgeben m\u00fcssen, die das L\u00f6segeld bezahlt haben. Dennoch ist dies nie eine Garantie, wenn es um Ransomware-Hacker geht, wie man bei Heimdal Security<\/a> lesen kann. Dort bei Heimdal Security<\/a> und bei Varonis<\/a> finden sich weitere Hintergrundinformationen.<\/p>\n

Beschlagnahme der Darknet-Seite und Geldern<\/h2>\n

In dieser Meldung<\/a> des US-Justizministeriums(DOJ) ist jetzt bekannt geworden, dass die US-Strafverfolger einen Schlag gegen die Netwalker-Gruppe gef\u00fchrt haben. Unter Leitung des FBI in Tampa, Florida, beschlagnahmten die Beh\u00f6rden die Tage eine versteckte Dark-Web-Ressource in Bulgarien. Es handelt sich um eine Tor-Seite der Netwalker Ransomware Seite, \u00fcber die die Zahlungen und die Datenver\u00f6ffentlichungen erfolgte. Die Tor-Seite wurde auch von NetWalker-Ransomware-Affiliates genutzt, um Zahlungsinformationen bereitzustellen und mit Opfern zu kommunizieren. Besucher der Seite finden nun ein Beschlagnahmungsbanner (siehe obiger Tweet), das sie dar\u00fcber informiert, dass sie von den Strafverfolgungsbeh\u00f6rden beschlagnahmt wurde.<\/p>\n

Unklar ist, ob die Strafverfolger auch in den Besitz der Schl\u00fcssel gelangt sind, mit denen die Dateien der Opfer entschl\u00fcsselt werden k\u00f6nnten. Auch ist noch unklar, ob es Verhaftungen der Betreiber gab. Aber es gibt eine Anklage. Laut Anklageschrift wurde Sebastien Vachon-Desjardins aus Gatineau in Ottawa, ein kanadischer Staatsb\u00fcrger, im Middle District of Florida angeklagt. Vachon-Desjardins soll laut Anklageschrift durch Straftaten mindestens 27,6 Millionen Dollar erlangt haben.<\/p>\n

Vachon-Desjardins ist kein unbeschriebenes Blatt, wie Brian Krebs hier schreibt<\/a>. In der Mitteilung des DOJ wird das Alter des Angeklagten nicht erw\u00e4hnt. Aber ein Artikel der lokalen Nachrichten-Website ledroit.com<\/a> aus dem Jahr 2015 in Gatineau deutet darauf hin, dass dies m\u00f6glicherweise nicht sein erstes Vergehen ist. Dem Artikel zufolge wurde der damals 27-j\u00e4hrige Sebastien Vachon-Desjardins wegen Drogenhandels zu mehr als drei Jahren Gef\u00e4ngnis verurteilt: Er soll im Besitz von mehr als 50.000 Methamphetamin-Tabletten gewesen sein.<\/p>\n

Das Justizministerium gab au\u00dferdem bekannt, dass die Strafverfolgungsbeh\u00f6rden am 10. Januar etwa 454.530,19 US-Dollar in Kryptow\u00e4hrung beschlagnahmt haben, die sich aus L\u00f6segeldzahlungen von Opfern dreier separater NetWalker-Ransomware-Angriffe zusammensetzten. Es scheint aber, dass man nicht an die Entwickler in Russland heran gekommen ist. Daher bleibt die Frage, ob sich Nachfolger finden, die auch den Resten ein eigenes Modell zimmern. Aber es ist gut, dass den Strafverfolgern der neue Schlag gelungen ist. Nach dem Ausheben der Emotet-Infrastruktur, siehe nachfolgende Links, eine weitere gute Nachricht.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nRansomware-Angriff auf Argentiniens Einwanderungsbeh\u00f6rde, deutsche Passdaten im Netz<\/a>
\nSicherheit: Hacks und Ransomware, die neue Bedrohung<\/a>
\nDaten von LG, Xeros und Intel geleaked, Canon von Ransomware befallen<\/a>
\n\u00d6sterreich: IT der Stadt Weiz mit Ransomware infiziert?<\/a>
\nBKA: Infrastruktur der Emotet-Schadsoftware \u00fcbernommen und zerschlagen<\/a>
\nEmotet deinstalliert sich angeblich am 25. M\u00e4rz 2021<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]N\u00e4chster Erfolg f\u00fcr die Strafverfolger, denn die haben die Server der Darknet Webseite der Netwalker Ransomware-Gang beschlagnahmt und ein \"Vertriebler\" aus Kanada, m\u00f6glicherweise der Kopf der Gang, aus Kanada angeklagt (ob er verhaftet wurde, ist mir nicht ganz klar, ich … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-243503","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/243503","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=243503"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/243503\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=243503"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=243503"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=243503"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}