Всичко, което трябва да знаете за NetWalker Ransomware

Netwalker е щам на рансъмуер, насочен към системи, базирани на Windows.

Открит за първи път през август 2019 г., той се развива през останалата част от 2019 г. и до 2020 г. По време на разгара на пандемията Covid-19, ФБР отбеляза значителни скокове в целевите атаки на NetWalker.

Ето какво трябва да знаете за рансъмуера, който атакува големи училища, здравни системи и държавни институции в САЩ и Европа.

Какво е NetWalker Ransomware?

По-рано наричан Mailto, Netwalker е сложен тип рансъмуер, който прави всички критични файлове, приложения и бази данни недостъпни чрез криптиране. Групата зад нея изисква плащане с криптовалута в замяна на възстановяване на данни и заплашва да публикува чувствителните данни на жертвата в „портал за изтичане“, ако не бъдат платени откупи.

Известно е, че групата стартира силно насочени кампании срещу големи организации, като основно използва фишинг на имейл, изпратен до входните точки, за да проникне в мрежите.

Предишни проби от отровени имейли използваха пандемията на коронавирус като примамка, за да накарат жертвите да кликват върху злонамерени връзки или да изтеглят заразени файлове. След като компютърът е заразен, той започва да се разпространява и компрометира всички свързани устройства с Windows.

Освен че се разпространява чрез спам имейли, този рансъмуер може също да се маскира като популярно приложение за управление на пароли. Веднага след като потребителите стартират фалшивата версия на приложението, техните файлове ще бъдат шифровани.

Като Дхарма, Содинокиби и други подли варианти на рансъмуер, Операторите на NetWalker използват модела ransomware-as-a-a-service (RaaS).

7 вида Ransomware, които ще ви изненадат

Ransomware винаги ви изненадва, но тези нови видове ransomware го извеждат на по-високо (и по-досадно) ниво.

Какво е Ransomware-As-A-Service?

Ransomware-as-a-a service е разклонението на киберпрестъпността на популярния бизнес модел на софтуер като услуга (SaaS) където софтуерът, който се хоства централно в облачната инфраструктура, се продава или дава под наем на клиенти с абонамент основа.

При продажбата на рансъмуер като услуга обаче продаваният материал е злонамерен софтуер, който е създаден да предприема нечестни атаки. Вместо клиенти, разработчиците на този ransomware търсят "филиали", които се очаква да улеснят разпространението на ransomware.

Свързани: Ransomware като услуга ще донесе хаос на всички

Ако атаката е успешна, парите за откупа се разделят между разработчика на откупния софтуер и филиала, който разпространява предварително изградения рансъмуер. Тези филиали обикновено получават около 70 до 80 процента от парите за откуп. Това е сравнително нов и доходоносен бизнес модел за престъпни групи.

Как NetWalker използва модела RaaS

Групата NetWalker активно набира „филиали“ на тъмни уеб форуми, предлагайки инструментите и инфраструктурата на киберпрестъпниците, които имат предишен опит да проникнат в големи мрежи. Според a доклад от McAfee, групата търси партньори, които говорят руски, и тези, които вече имат опора в мрежата на потенциална жертва.

Те дават приоритет на качеството пред количеството и имат само ограничени слотове за партньори. Те спират да набират, след като те са попълнени и ще рекламират отново във форумите само след като се отвори слот.

Как се разви NetWalker Ransom Note?

Предишните версии на бележката за откуп на NetWalker, подобно на повечето други бележки за откуп, имаха раздел „свържете се с нас“, който използваше анонимни услуги за имейл акаунт. След това жертвите ще се свържат с групата и ще улеснят плащането чрез това.

Много по-усъвършенстваната версия, която групата използва от март 2020 г., отхвърли имейла и го замени със система, използваща интерфейса NetWalker Tor.

Потребителите са помолени да изтеглят и инсталират Tor Browser и им се дава личен код. След подаване на ключа си чрез онлайн формуляра, жертвата ще бъде пренасочена към чат месинджър, за да разговаря с "техническата поддръжка" на NetWalker.

Как плащате на NetWalker?

Системата NetWalker е организирана подобно на компаниите, към които са насочени. Те дори издават подробна фактура, която включва състоянието на акаунта, т.е. "изчакване на плащане", сумата, която трябва да бъде уредена, и времето, което им остава за уреждане.

Според докладите на жертвите се дава една седмица да платят, след което цената за дешифриране се удвоява - или чувствителните данни изтичат в резултат на неплащане преди крайния срок. След като плащането е извършено, жертвата се насочва към страницата за изтегляне на програмата за декриптиране.

Програмата за декриптиране изглежда уникална и е предназначена да дешифрира само файловете на конкретния потребител, извършил плащането. Ето защо на всяка жертва се дава уникален ключ.

Високопрофилни жертви на NetWalker

Бандата зад NetWalker е свързана с множество атаки срещу различни образователни, държавни и бизнес организации.

Сред високопоставените жертви са Мичиганският държавен университет (MSU), Колумбийският колеж в Чикаго и Калифорнийският университет в Сан Франциско (UCSF). Последният очевидно е платил откуп от 1,14 милиона долара в замяна на инструмент за отключване на криптираните данни.

Другите му жертви включват град Вайц в Австрия. По време на тази атака градската система за обществена услуга беше компрометирана. Някои от техните данни от строителни инспекции и заявления също бяха изтекли.

Здравните институции не са пощадени: според съобщенията бандата е насочена към района за обществено здраве Champaign Urbana (CHUPD) в Илинойс, Колежът на медицинските сестри в Онтарио (CNO) в Канада и Университетската болница Дюселдорф (UKD) в Германия.

Смята се, че атаката срещу последната е причинила една смърт, след като пациентът е бил принуден да отиде в друга болница, когато са били засегнати спешните служби в Дюселдорф.

Как да защитим данните си от атаки на NetWalker

Внимавайте с имейли и съобщения с молба да кликнете върху връзки или да изтеглите файлове. Вместо да кликнете върху връзката веднага, задръжте курсора на мишката върху нея, за да разгледате целия URL, който трябва да се появи в долната част на браузъра ви. Не кликвайте върху никакви имейл връзки, докато не сте сигурни, че е истински, което може да означава да се свържете с подателя в отделна система, за да проверите.

Вие също трябва избягвайте да изтегляте фалшиви приложения.

Уверете се, че имате инсталиран надежден антивирусен и анти-зловреден софтуер, който се актуализира редовно. Те често могат да открият фишинг връзки в имейлите. Инсталирайте софтуерни корекции веднага, тъй като те са предназначени за отстраняване на уязвимости, които киберпрестъпниците често използват.

Също така трябва да защитите точките за достъп на мрежата си със силни пароли и да използвате многофактор удостоверяване (MFA) за защита на достъпа до мрежата, други компютри и услуги във вашия организация. Редовното архивиране също е добра идея.

Трябва ли да се притеснявате от NetWalker?

Въпреки че все още не е насочен към отделни крайни потребители, NetWalker може да ви използва като шлюз за проникване в мрежите на вашата организация чрез фишинг имейли и злонамерени файлове или заразени фалшиви приложения.

Рансъмуерът е нещо страшно, но можете да се предпазите, като вземете разумни предпазни мерки, като останете нащрек и

7 начина да избегнете удара от Ransomware

Рансъмуерът може буквално да съсипе живота ви. Правите ли достатъчно, за да избегнете загубата на личните си данни и снимки при цифрово изнудване?

За автора