O Departamento de Justiça dos EUA anunciou uma ação internacional coordenada para interromper o ransomware NetWalker, a ação inclui uma apreensão de quase meio milhão de dólares em criptomoedas, desativação de um recurso da dark web usado para se comunicar com as vítimas do ransomware NetWalker, e a prisão de um cidadão canadense, Sebastien Vachon-Desjardins, que obteve dezenas de milhões de dólares agindo como um afiliado da NetWalker.
A ação destaca a sofisticação com que a variante NetWalker operava, o impacto global dos ataques de ransomware e os fundos substanciais que os atores de ransomware roubam de suas vítimas.
Crescimento e crescente sofisticação do Ransomware
Dados da Chainalysis mostram que o valor total pago pelas vítimas de ransomware aumentou 311% em 2020 para atingir quase US$ 350 milhões em criptomoedas. Esse número é um limite menor do total real, pois a subnotificação significa que provavelmente não categorizamos todos os endereços de pagamento das vítimas em nossos conjuntos de dados.
Muitas cepas ou variantes, incluindo o NetWalker, funcionam no modelo Ransomware as a Service (RaaS), no qual os atacantes conhecidos como afiliados “alugam” o uso de uma determinada variedade de ransomware de seus criadores ou administradores, que em troca recebem uma parte do dinheiro de cada afiliado de ataque bem-sucedido realizado. A RaaS levou a mais ataques, tornando ainda mais difícil quantificar todo o impacto financeiro. Mas a tendência é clara; nenhuma outra categoria de crime baseado em criptomoedas teve uma taxa de crescimento maior do que o ransomware em 2020.
NetWalker foi uma das principais variedades de ransomware por receita este ano, juntamente com Ryuk, Maze, Doppelpaymer e Sodinokibi.
A Chainalysis, que ajudou na investigação, disse que “rastreou mais de US $ 46 milhões em fundos em resgates do NetWalker desde que entrou em cena em agosto de 2019”, acrescentando “que ganhou força em meados de 2020, aumentando o resgate médio para US $ 65.000 no ano passado, ante US $ 18.800 em 2019. ”
De acordo com as autoridades americanas, a NetWalker impactou pelo menos 305 vítimas de 27 países diferentes, incluindo 203 nos EUA.
“Depois que a vítima paga, desenvolvedores e afiliados dividem o resgate”, disse o Departamento de Justiça dos EUA (DoJ).
Os pesquisadores do Chainalysis suspeitam que, além de envolver pelo menos 91 ataques usando o NetWalker desde abril de 2020, Vachon-Desjardins trabalhou como afiliado para outros operadores RaaS, como Sodinokibi, Suncrypt e Ragnarlocker.
A interrupção do NetWalker veio no mesmo dia em que as autoridades europeias anunciaram uma remoção coordenada visando a rede de crimeware como serviço Emotet. O botnet tem sido usado por vários grupos de cibercrimes para implantar malware de segundo estágio – mais notavelmente Ryuk e TrickBot.