Phối hợp với các nhà chức trách Bulgaria, Bộ Tư pháp Hoa Kỳ (DOJ) đã phá vỡ cơ sở hạ tầng của băng đảng ransomware nổi tiếng. Cơ quan thực thi pháp luật đã thu giữ các máy chủ của họ và truy tìm các khoản tiền bất hợp pháp với sự trợ giúp của phân tích pháp y blockchain thông qua Chainalysis.

Các nhà chức trách Hoa Kỳ đã thu giữ hơn 454.000 đô la tiền điện tử trị giá


Theo thông báo của Bộ Tư pháp Hoa Kỳ, hành động phối hợp đã hạ gục Netwalker, một nhóm ransomware hoạt động mạnh trong năm qua, đặc biệt nhắm mục tiêu vào lĩnh vực chăm sóc sức khỏe.

Các nhà chức trách Hoa Kỳ cũng truy tố một công dân Canada, Sebastien Vachon-Desjardins, người bị cáo buộc đã thu được 27,6 triệu đô la với tư cách là “chi nhánh của Netwalker”.

Các nhà chức trách đã thu giữ một máy chủ lưu trữ trang web của họ trên dark web, nơi băng nhóm đã chuyển hướng nạn nhân của họ để sắp xếp các cuộc đàm phán về tiền chuộc. Hơn nữa, DOJ của Hoa Kỳ cho biết rằng 454.530,19 đô la tiền điện tử từ các khoản thanh toán tiền chuộc đã bị thu giữ.

Với sự hỗ trợ của phân tích blockchain, cơ quan thực thi pháp luật đã tận dụng các công cụ điều tra của Chainalysis để theo dõi các giao dịch của Netwalker. Trên thực tế, công ty blockchain đã truy tìm khoản tiền trị giá hơn 46 triệu đô la trong tiền chuộc Netwalker kể từ khi nó xuất hiện lần đầu tiên vào tháng 8 năm 2019.

Các nhà chức trách Hoa Kỳ tin rằng băng đảng ransomware đã nhắm vào 205 nạn nhân từ 27 quốc gia khác nhau trong suốt thời gian tồn tại của nó, trong đó có 203 người ở Hoa Kỳ.

Phát biểu với news.Bitcoin.com, Brett Callow, nhà phân tích mối đe dọa tại phòng thí nghiệm phần mềm độc hại Emsisoft, đã bình luận về hành động của chính quyền đối với Netwalker:

Các nhóm ransomware đã hoạt động với hầu như không bị trừng phạt trong một thời gian rất dài, có nghĩa là có rất ít khả năng ngăn chặn. Phần thưởng là rất lớn, trong khi rủi ro là nhỏ. Hành động chống lại Netwalker thay đổi điều đó. Ngoài việc làm gián đoạn nguồn doanh thu của nhóm, nó cũng gửi một thông điệp rõ ràng rằng tội phạm mạng không nằm ngoài tầm với của pháp luật. Điều đó sẽ tạo ra một sự ngăn cản? Không, nhưng đó chắc chắn là một bước đi đúng hướng.

Netwalker ransomware hoạt động với một kế hoạch liên kết, nơi những người bên ngoài có thể triển khai ransomware và chia sẻ doanh thu với băng nhóm. Chainalysis giải thích chi tiết những gì phân tích blockchain đã tiết lộ về cơ sở hạ tầng:

Thông thường, có bốn vai trò nhận được tiền thu được từ các cuộc tấn công của Netwalker: quản trị viên hoặc nhà phát triển có khả năng là (8-10%), chi nhánh (76-80%) và hai vai trò được ủy quyền (2,5% -5% mỗi vai trò). Một chi nhánh, như Vachon-Desjardins, thường chịu trách nhiệm truy cập vào mạng nạn nhân và triển khai phần mềm độc hại. Cũng có trường hợp một ví nhận được 100% khoản thanh toán, mà chúng tôi tin rằng thuộc về quản trị viên Netwalker và cho biết rằng người đó cũng có thể trực tiếp tham gia vào một số cuộc tấn công.

Công ty phân tích nói rằng có ít hơn 20 chi nhánh duy nhất. Một số người trong số họ hiếm khi triển khai ransomware, trong khi những người khác chuyển sang các chủng ransomware tương tự khác. Đó là lý do tại sao một công cụ được sử dụng bởi các nhà chức trách có tên Chainalysis Reactor theo dõi các khoản thanh toán mà các chi nhánh nhận được từ các biến thể khác.

Để xác nhận thực tế là một số chi nhánh đã chuyển sang các chủng khác, Chainalysis phát hiện ra rằng quản trị viên Netwalker đã xuất bản một quảng cáo trên các diễn đàn darknet. Quản trị viên đang tìm kiếm các chi nhánh mới, vì các vị trí tuyển dụng “đã được giải phóng.”

Truy tìm chi nhánh Netwalker bị nghi ngờ


Về cách các nhà chức trách lần ra các hoạt động của Vachon-Desjardins, Chainalysis giải thích:

Phân tích chuỗi khối đã tiết lộ ít nhất 345 địa chỉ liên kết với Vachon-Desjardins từ tháng 2 năm 2018 với các giao dịch tiếp tục cho đến ngày viết bài này (27 tháng 1 năm 2021). Anh ta bị cáo buộc đã nhận được hơn 14 triệu đô la bitcoin tại thời điểm nhận tiền, cuối cùng sở hữu ít nhất 27,6 triệu đô la với giá trị ngày càng tăng của nó.

Trích dẫn các đối tác chính phủ, Chainalysis tuyên bố Vachon-Desjardins đã tham gia vào ít nhất 91 cuộc tấn công bằng cách sử dụng phần mềm ransomware Netwalker kể từ tháng 4 năm 2020, triển khai phần mềm độc hại này như một chi nhánh và nhận được 80% tiền chuộc. Công ty phân tích cũng nghi ngờ chi nhánh Netwalker bị cáo buộc có liên quan đến việc triển khai các chủng ransomware khác.

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây