Tot ce trebuie să știți despre NetWalker Ransomware

Netwalker este o varietate de ransomware care vizează sistemele bazate pe Windows.

Descoperit pentru prima dată în august 2019, a evoluat în restul anului 2019 și până în 2020. Punctele semnificative ale atacurilor vizate de NetWalker au fost observate de FBI în timpul apogeului pandemiei Covid-19.

Iată ce trebuie să știți despre ransomware-ul care a atacat școlile majore, sistemele de sănătate și instituțiile guvernamentale din SUA și Europa.

Ce este NetWalker Ransomware?

Denumit anterior Mailto, Netwalker este un tip sofisticat de ransomware care face ca toate fișierele, aplicațiile și bazele de date critice să fie inaccesibile prin criptare. Grupul din spatele acestuia cere plata criptomonedelor în schimbul recuperării datelor și amenință să publice datele sensibile ale victimei într-un „portal de scurgere” dacă nu sunt plătite răscumpărări.

Grupul este cunoscut pentru lansarea de campanii extrem de direcționate împotriva organizațiilor mari, folosind în principal phishingul de e-mail trimis către punctele de intrare pentru a se infiltra în rețele.

Eșantioanele anterioare de e-mailuri otrăvite au folosit pandemia de coronavirus ca o momeală pentru a face victimele să facă clic pe linkuri rău intenționate sau să descarce fișiere infectate. Odată ce un computer a fost infectat, acesta începe să se răspândească și compromite toate dispozitivele Windows conectate.

În afară de răspândirea prin e-mailuri spam, acest ransomware se poate deghiza și ca o aplicație populară de gestionare a parolelor. De îndată ce utilizatorii rulează versiunea falsă a aplicației, fișierele lor vor fi criptate.

La fel ca Dharma, Sodinokibi și altele variante nefaste de ransomware, Operatorii NetWalker folosesc modelul ransomware-as-a-service (RaaS).

7 tipuri de ransomware care vă vor surprinde prin surprindere

Ransomware te ia mereu prin surprindere, dar aceste noi tipuri de ransomware îl duc la un nivel mai înalt (și mai enervant).

Ce este Ransomware-As-A-Service?

Ransomware-as-a-service este ramura de criminalitate cibernetică a popularului model de afaceri software-as-a-service (SaaS) în cazul în care software-ul găzduit central pe infrastructura cloud este vândut sau închiriat clienților cu abonament bază.

Cu toate acestea, în vânzarea software-ului ransomware ca serviciu, materialul vândut este malware conceput pentru a lansa atacuri nefaste. În loc de clienți, dezvoltatorii acestor ransomware caută „afiliați” care ar trebui să faciliteze răspândirea ransomware-ului.

Legate de: Ransomware-as-a-Service va aduce haos tuturor

Dacă atacul are succes, banii de răscumpărare sunt împărțiți între dezvoltatorul ransomware-ului și afiliatul care a distribuit ransomware-ul pre-construit. Acești afiliați obțin în mod normal în jur de 70 până la 80 la sută din banii de răscumpărare. Este un model de afaceri relativ nou și profitabil pentru grupurile criminale.

Cum folosește NetWalker modelul RaaS

Grupul NetWalker a recrutat în mod activ „afiliați” pe forumurile dark web, oferind instrumentele și infrastructura criminalilor cibernetici care au experiență anterioară în infiltrarea rețelelor mari. Potrivit unui raport de către McAfee, grupul caută parteneri care vorbesc limba rusă și cei care au deja un punct de sprijin în rețeaua unei potențiale victime.

Acestea acordă prioritate calității față de cantitate și au sloturi limitate doar pentru parteneri. Încetează recrutarea după ce acestea sunt completate și vor face publicitate din nou numai prin forumuri, odată ce se deschide un slot.

Cum a evoluat NetWalker Ransom Note?

Versiunile anterioare ale notei de răscumpărare NetWalker, la fel ca majoritatea celorlalte note de răscumpărare, aveau o secțiune „contactați-ne” care folosea servicii de cont de e-mail anonime. Victimele vor contacta apoi grupul și vor facilita plata prin aceasta.

Versiunea mult mai sofisticată pe care grupul o folosește din martie 2020 a eliminat e-mailul și l-a înlocuit cu un sistem care utilizează interfața NetWalker Tor.

Utilizatorii sunt rugați să descarce și să instaleze Tor Browser și li se oferă un cod personal. După trimiterea cheii prin formularul online, victima va fi redirecționată către un chat messenger pentru a vorbi cu „asistența tehnică” NetWalker.

Cum plătiți NetWalker?

Sistemul NetWalker este organizat la fel ca companiile pe care le vizează. Aceștia emit chiar o factură detaliată care include starea contului, adică „așteaptă plata”, suma care trebuie decontată și timpul care le-a mai rămas pentru decontare.

Potrivit rapoartelor, victimelor li se acordă o săptămână de plată, după care prețul pentru decriptare se dublează - sau datele sensibile sunt difuzate ca urmare a neplății înainte de termen. După efectuarea plății, victima este direcționată către o pagină de descărcare pentru programul de decriptare.

Programul de decriptare pare a fi unic și este conceput pentru a decripta numai fișierele utilizatorului specific care a efectuat plata. Acesta este motivul pentru care fiecare victimă primește o cheie unică.

Victime NetWalker de profil înalt

Banda din spatele NetWalker a fost legată de o serie de atacuri asupra diferitelor organizații educaționale, guvernamentale și de afaceri.

Printre victimele sale de profil se numără Michigan State University (MSU), Columbia College of Chicago și University of California San Francisco (UCSF). Acesta din urmă pare să fi plătit o răscumpărare de 1,14 milioane de dolari în schimbul unui instrument de deblocare a datelor criptate.

Celelalte victime ale sale includ orașul Weiz din Austria. În timpul acestui atac, sistemul de servicii publice al orașului a fost compromis. Unele dintre datele lor din inspecții și aplicații ale clădirilor au fost, de asemenea, divulgate.

Instituțiile sanitare nu au fost scutite: banda ar fi vizat districtul de sănătate publică Champaign Urbana (CHUPD) din Illinois, Colegiul Asistenților Medicali din Ontario (CNO) din Canada și Spitalul Universitar Düsseldorf (UKD) din Germania.

Se crede că atacul asupra acestuia din urmă a provocat o moarte după ce pacientul a fost obligat să meargă la un alt spital când au fost afectate serviciile de urgență din Dusseldorf.

Cum să vă protejați datele de atacurile NetWalker

Aveți grijă la e-mailuri și mesaje care vă cer să faceți clic pe linkuri sau să descărcați fișiere. În loc să faceți clic pe link imediat, plasați cursorul deasupra acestuia pentru a examina întreaga adresă URL care ar trebui să apară în partea de jos a browserului. Nu faceți clic pe niciun link de e-mail până nu sunteți sigur că este autentic, ceea ce ar putea însemna să contactați expeditorul pe un sistem separat pentru a verifica.

De asemenea, trebuie evitați să descărcați aplicații false.

Asigurați-vă că aveți instalate antivirus și anti-malware de încredere, care sunt actualizate periodic. Acestea pot identifica adesea linkuri de phishing în e-mailuri. Instalați imediat patch-uri software, deoarece acestea sunt concepute pentru a remedia vulnerabilitățile pe care criminalii cibernetici le exploatează frecvent.

De asemenea, trebuie să vă protejați punctele de acces ale rețelei cu parole puternice și să utilizați multi-factori autentificare (MFA) pentru a proteja accesul la rețea, alte computere și servicii din organizare. Efectuarea de copii de rezervă regulate este, de asemenea, o idee bună.

Ar trebui să vă faceți griji cu privire la NetWalker?

Deși nu vizează încă utilizatorii finali individuali, NetWalker vă poate folosi ca o poartă de acces pentru a vă infiltra în rețelele organizației dvs. prin e-mailuri de phishing și fișiere rău intenționate sau aplicații false infectate.

Ransomware-ul este un lucru înfricoșător, dar vă puteți proteja luând măsuri de precauție sensibile, rămânând vigilent și

7 moduri de a evita să fii lovit de Ransomware

Ransomware-ul vă poate strica literalmente viața. Faceți suficient pentru a evita pierderea datelor dvs. personale și a fotografiilor în urma extorsiunii digitale?

Despre autor