Si estás al tanto sobre la actualidad en ciberseguridad, recordarás que en marzo de 2022 hablamos de un ciberdelincuente convicto de Canadá llamado Sebastien Vachon-Desjardins.
Según todos los indicios, formaba parte de varias bandas denominadas Ransomware-as-a-Service (RaaS), como REvil y NetWalker, en las que los atacantes reales de ransomware actúan como “afiliados” de los creadores principales de ransomware, a cambio de entregar una comisión del 30% de cada pago de chantaje, similar a la de AppStore o Google Play.
En pocas palabras, los miembros de la banda principal crean muestras de malware, dirigen los servidores de la web oscura que se encargan de las “negociaciones” con las víctimas y cobran los pagos de extorsión, mientras que los afiliados se encargan de irrumpir en las redes de las víctimas, mapearlas y preparar el ataque final en el que se codifican los datos del mayor número posible de ordenadores de la red al mismo tiempo.
La “teoría del negocio”, si podemos llamarla así, es que al quedarse con el 30% de cada ataque exitoso, los delincuentes principales se vuelven extremadamente ricos, pero mantienen un perfil bajo.
Al mismo tiempo, al entregar el 70% a sus “afiliados”, animan a esos co-conspiradores a hacer que cada ataque sea lo más debilitante posible, aumentando potencialmente la cantidad que las víctimas pueden pagar para que su negocio vuelva a funcionar.
Los antecedentes
Vachon-Desjardins era un funcionario del gobierno federal en la región de la capital canadiense (es de Gatineau, en Quebec, justo al otro lado del río de la capital federal, Ottawa, en Ontario).
Parece que decidió unirse al submundo de la ciberdelincuencia, mucho más lucrativo que su trabajo en el gobierno, y parece que efectivamente acumuló una pequeña fortuna en ganancias ilegales hasta que fue identificado, detenido y procesado en Canadá.
Tras ser condenado a casi siete años en una prisión canadiense, fue extraditado a Tampa, Florida, en Estados Unidos, para enfrentarse allí a cuatro cargos federales:
- Conspiración para cometer fraude informático
- Conspiración para cometer fraude electrónico
- Daño intencionado a un ordenador protegido
- Transmisión de una demanda en relación con daños a un ordenador protegido
La elección de Tampa para su juicio se debe a que una víctima de uno de sus ataques de ransomware “NetWalker” tiene su sede allí.
Vachon-Desjardins se ha declarado culpable de los cuatro cargos, en el acuerdo de declaración de culpabilidad (gracias a The Register por subir una copia del documento judicial) explica:
El NetWalker Ransomware era un tipo específico de software malicioso (malware) que se utilizaba para comprometer y restringir el acceso a la red informática de una víctima en un esfuerzo por extorsionar un rescate. Los conspiradores utilizaban NetWalker no sólo para cifrar los datos de las víctimas, sino también para robarles datos confidenciales. Si la víctima no pagaba el rescate, los conspiradores se negaban a descifrar los datos de la víctima y publicaban los datos confidenciales robados en Internet. Los datos robados se publicaban a menudo en un sitio web oscuro llamado “NetWalker Blog”, que existía con el propósito principal de facilitar la publicación de los datos robados de las víctimas.
NetWalker operaba como un ransomware como servicio (“RaaS”), con desarrolladores basados en Rusia y afiliados que residían en todo el mundo. Según el modelo RaaS, los desarrolladores se encargaban de crear y actualizar el ransomware y ponerlo a disposición de los afiliados. Los afiliados se encargaban de identificar y atacar a las víctimas de alto valor con el ransomware. Una vez que la víctima pagaba, los desarrolladores y los afiliados se repartían el rescate. Sebastien Vachon-Desjardins fue uno de los afiliados más prolíficos del NetWalker Ransomware.
SophosLabs ha analizado el ransomware NetWalker en detalle, gracias a una serie de archivos recuperados por nuestro equipo de respuesta a amenazas durante la investigación de un incidente de ransomware en 2020.
El acuerdo de culpabilidad también señala que:
El 27 y 28 de enero de 2021, o alrededor de esa fecha, la Real Policía Montada de Canadá ejecutó órdenes de registro en el domicilio de Vachon-Desjardins y en las cajas de seguridad que éste tenía en el National Bank de Gatineau (Quebec).
Durante estos registros, las fuerzas del orden se incautaron, entre otros activos, de todo el bitcoin contenido en la cartera BTC 3Pxki6pFFKC12YSn8JtDs3ZrEg3pFTHnHd del acusado.
Este bitcoin incautado procedía principalmente de los fondos de rescate pagados por las víctimas de los ataques del ransomware NetWalker.
La cantidad incautada fue de algo menos de 720 BTC, con un valor de unos 23 millones de dólares a principios de 2021, y que sigue valiendo unos 14 millones de dólares en la actualidad.
Sin embargo, eso no fue todo, ya que el documento judicial afirma lo siguiente
Las fuerzas de seguridad identificaron e incautaron copias del servidor que operaba como backend, o servidor interno, del panel NetWalker Tor y del blog NetWalker. Este servidor contenía información transaccional detallada sobre los desarrolladores y afiliados de NetWalker. Los registros revelaron que durante el transcurso de la conspiración, aproximadamente 100 afiliados habían estado activos, y las víctimas habían pagado aproximadamente 5058 bitcoins en rescates (un total aproximado de 40 millones de dólares estadounidenses basado en el valor del bitcoin en el momento de cada transacción).
Estos registros también vinculan a Vachon-Desjardins con la extorsión exitosa de aproximadamente 1864 bitcoin en rescates (un total aproximado de 21,5 millones de dólares basado en el valor de bitcoin en el momento de cada transacción) de docenas de empresas víctimas en todo el mundo, incluyendo [la víctima en Tampa, Florida].
¿Y ahora qué?
Como dijo Chester Wisniewski en el podcast de marzo de 2022
Sébastien está temporalmente “en préstamo” a los estadounidenses, para que puedan castigarlo, pero cuando vuelva, todavía tiene que afrontar su condena aquí en Canadá.
El delito de fraude electrónico por sí solo conlleva una pena máxima de 20 años, pero suponemos que el tribunal le impondrá una pena más leve debido al acuerdo de culpabilidad que se ha firmado.
El acuerdo de declaración de culpabilidad deja claro que “el acusado se declara culpable porque es de hecho culpable”.
Y parte del acuerdo incluye que el “acusado se compromete a cooperar plenamente con los Estados Unidos en la investigación y el enjuiciamiento de otras personas, […incluyendo] una revelación total y completa de toda la información relevante, incluyendo la producción de todos y cada uno de los libros, papeles, documentos y otros objetos en posesión o control del acusado”.
En otras palabras, se espera que Vachon-Desjardins delate a sus antiguos compañeros en la escena del ransomware.