NetWalkerin lunnasohjelmien käyttämä rikosohjelmapalvelin takavarikoitiin ja suljettiin

NetWalkerin lunnasohjelmien käyttämä rikosohjelmapalvelin takavarikoitiin ja suljettiin

Aikaleima: 14. elokuuta 2023 10
Lähdesolmu: 2212946
by Paul Ducklin

Se on kestänyt lähes kymmenen vuotta, mutta Yhdysvaltain oikeusministeriö (DOJ) on vasta ilmoitti tuomioistuimen hyväksymä verkkotunnuksen takavarikointi LolekHosted.net jonka väitetään liittyvän monenlaisiin rikosohjelmistotoimintoihin palveluna.

DOJ nosti syytteen myös 36-vuotiaasta puolalaisesta miehestä nimeltä Artur Karol Grabowski palvelun johtamisesta, mutta hänen nykyinen olinpaikkansa ei ole tiedossa.

DoJ:ssa tylsiä sanoja, "Grabowski pysyy pakolaisena."

Kaatunut sivusto on edelleen teknisesti verkossa, mutta nyt se esittää vierailijoille varoituksen:

Luodinkestävä isäntä

Tämän tyyppiset sivustot tunnetaan ammattikielessä nimellä luodinkestävät isännät, jonka operaattorit väittävät, että he eivät vain siirry verkossa vastustaakseen poistoyrityksiä, vaan myös suojelevat "asiakkaitaan" tunnistamiselta, vaikka heidän omaisuutensa takavarikoidaan.

Itse asiassa DOJ väittää, että:

Grabowskin väitetään helpottavan LolekHosted-asiakkaiden rikollista toimintaa antamalla asiakkaiden rekisteröidä tilejä käyttämällä vääriä tietoja, olematta ylläpitämättä asiakaspalvelimien IP-osoitelokeja, vaihtamalla usein asiakaspalvelimien IP-osoitteita ja jättämällä huomiotta kolmansien osapuolten asiakkaita vastaan ​​tekemät väärinkäyttövalitukset. ja ilmoittaa asiakkaille lainvalvontaviranomaisilta saaduista oikeudellisista tiedusteluista.

LolekHostedin väitetysti mahdollistamia tietoverkkorikollisuutta ovat mm. ransomware hyökkäykset; järjestelmän tunkeutumisyritykset ns raa'at voimahyökkäykset (esimerkiksi jos hyökkääjät yrittävät kirjautua tuhansiin eri palvelimiin miljoonilla erilaisilla salasanoilla); ja Phishing.

Kuten luultavasti tiedät, lunnasohjelmarikolliset käyttävät tyypillisesti anonyymejä darkweb-isäntiä yhteydenottoon, kun he "neuvottavat" kiristyksen palkkioistaan.

Näitä darkweb-palvelimia isännöidään yleensä suurelta osin nimettömässä Tor-verkossa, jossa palvelimien nimet päättyvät .onion.

Niin sanottu sipulin osoitteita eivät ole osa tavallista Internet-verkkotunnusjärjestelmää (DNS), joten niitä ei voi etsiä tai jäljittää perinteisillä työkaluilla, ja ne edellyttävät kiristyshaittaohjelmien uhrien asentamista ja käyttämistä erityisellä Tor-yhteensopivalla selaimella päästäkseen niihin pseudoanonyymisti.

Hyökkäyksen edetessä ja jopa hyökkäyksen ollessa käynnissä kiristysohjelmarikolliset tarvitsevat usein viattoman tyylisiä URL-osoitteita tavallisessa "brightwebissä".

Hyökkääjät esimerkiksi määrittävät usein aidon näköisiä sivustoja haittaohjelmiensa ja hakkerointityökalujensa latausvarastoksiksi, hyökkäysten aloituspisteiksi ja latauspalvelimiksi, joille he voivat suodattaa varastetut tiedostot herättämättä välitöntä epäilystä.

DOJ:n mukaan Grabowskin asiakkaita oli lukuisia sen tytäryhtiöitä pahamaineinen NetWalker ransomware-jengi, jonka LoledHosted-palvelimet ovat mukana:

noin 50 NetWalkerin kiristysohjelmahyökkäystä uhreja vastaan ​​kaikkialla maailmassa, mukaan lukien Floridan keskialueella [jossa Grabowskia syytetään]. Erityisesti asiakkaat käyttivät LolekHostedin palvelimia välittäjinä päästäkseen luvatta uhriverkkoihin ja tallentaakseen hakkerointityökaluja ja uhreilta varastettuja tietoja.

Mitä seuraavaksi?

Jos hänet kiinni jäädään ja tuomitaan, DOJ sanoo, että se yrittää saada takaisin 21,500,000 XNUMX XNUMX dollaria menetetyistä varoista Grabowskilta, summa, joka DOJ:n mukaan vastaa häntä syytettyjen rikollisten toimien tuottoa.

Emme tiedä, mitä tapahtuu, jos Grabowski jää kiinni, eikä hän saa tai ei pysty hankkimaan rahoja, mutta DOJ huomauttaa myös, että enimmäisrangaistus, joka hänelle uhkaa, jos hänet tuomitaan kaikista syytteistä (kaiken sen maksimin vuoksi tuomioita tuomitaan harvoin) on 45 vuotta.

Aikaleima:

Lisää aiheesta Naked Security