Все, что вам нужно знать о NetWalker Ransomware
Netwalker – это разновидность программ-вымогателей, нацеленных на системы на базе Windows.
Впервые обнаруженный в августе 2019 года, он развивался на протяжении оставшейся части 2019 года и до 2020 года. Значительные всплески целевых атак NetWalker были отмечены ФБР в разгар пандемии Covid-19.
Вот что вам нужно знать о программах-вымогателях, которые атаковали крупные школы, системы здравоохранения и правительственные учреждения в США и Европе.
Что такое NetWalker Ransomware?
Netwalker, ранее называвшийся Mailto, представляет собой сложный тип программы-вымогателя, которая делает все важные файлы, приложения и базы данных недоступными с помощью шифрования. Группа, стоящая за этим, требует оплаты криптовалютой в обмен на восстановление данных и угрожает опубликовать конфиденциальные данные жертвы на «портале утечек», если выкуп не будет выплачен.
Известно, что эта группа запускает целенаправленные кампании против крупных организаций, в основном используя фишинговую рассылку электронной почты, отправляемую в точки входа для проникновения в сети.
#NetWalker добавил новую компанию и опубликовал данные по старой
Новая жертва – Activisu. Было загружено 5 скриншотов файловой системы. Хакер дал компании еще 10 дней на то, чтобы совершить сделку
Также хакеры якобы опубликовали файлы с Тетера, но обе ссылки были удалены pic.twitter.com/BN2Qp3s5Hn
– Тан Йонгруй (@YongruiTan) 13 ноября 2020 г.
Предыдущие образцы отравленных писем использовали пандемию коронавируса как приманку, чтобы заставить жертв переходить по вредоносным ссылкам или скачивать зараженные файлы. После заражения компьютер начинает распространяться и ставит под угрозу все подключенные устройства Windows.
Помимо распространения через спам-сообщения, эта программа-вымогатель также может маскироваться под популярное приложение для управления паролями. Как только пользователи запускают фиктивную версию приложения, их файлы будут зашифрованы.
Подобно Dharma, Sodinokibi и другим гнусным вариантам программ-вымогателей , операторы NetWalker используют модель программы-вымогателя как услуги (RaaS).
Что такое программа-вымогатель как услуга?
Программа-вымогатель как услуга – это ответвление киберпреступности популярной бизнес-модели «программное обеспечение как услуга» (SaaS), при которой программное обеспечение, централизованно размещенное в облачной инфраструктуре, продается или сдается в аренду клиентам по подписке.
Однако при продаже программ-вымогателей как услуги продаваемый материал представляет собой вредоносное ПО, предназначенное для проведения гнусных атак. Вместо клиентов разработчики этих программ-вымогателей ищут «аффилированных лиц», которые, как ожидается, будут способствовать распространению программ-вымогателей.
Если атака успешна, выкуп делится между разработчиком программы-вымогателя и аффилированным лицом, распространившим предварительно созданную программу-вымогатель. Эти аффилированные лица обычно получают от 70 до 80 процентов выкупа. Это относительно новая и прибыльная бизнес-модель для преступных групп.
Как NetWalker использует модель RaaS
Согласно новому отчету, с 1 марта #Netwalker #ransomware собрала в общей сложности 25 миллионов долларов в виде выкупа. Netwalker – это операция #Ransomware – as -a-Service ( #RaaS ).
С BleepingComputer: https://t.co/lMTX1mTpWY # V2Systems #ITProfessionals
(703) 215-2921 pic.twitter.com/qrN9QsxRUI– V2 Systems (@ v2systems) 5 августа 2020 г.
Группа NetWalker активно набирает «партнеров» на форумах дарквеба, предлагая инструменты и инфраструктуру киберпреступникам, у которых есть предыдущий опыт проникновения в большие сети. Согласно отчету McAfee, группа ищет партнеров, которые говорят по-русски и тех, кто уже имеет точку опоры в сети потенциальной жертвы.
Для них качество важнее количества, а количество мест для партнеров ограничено. Они прекращают набор, как только они будут заполнены, и будут снова размещать рекламу на форумах только после того, как откроется слот.
Как развивалась записка о выкупе NetWalker?
В предыдущих версиях записки о выкупе NetWalker, как и в большинстве других записок о выкупе, был раздел «Свяжитесь с нами», в котором использовались анонимные службы электронной почты. Затем жертвы связывались с группой и способствовали выплате через это.
В гораздо более сложной версии, которую группа использует с марта 2020 года, электронная почта отказалась и заменила ее системой, использующей интерфейс NetWalker Tor.
Пользователям предлагается загрузить и установить браузер Tor, и им предоставляется личный код. После отправки ключа через онлайн-форму жертва будет перенаправлена в чат-мессенджер, чтобы поговорить с «технической поддержкой» NetWalker.
Как вы платите NetWalker?
Система NetWalker устроена так же, как и компании, на которые они нацелены. Они даже выставляют подробный счет-фактуру, который включает в себя статус счета, то есть «ожидает платежа», сумму, которая должна быть оплачена, и время, оставшееся для оплаты.
Согласно сообщениям, жертвам дается одна неделя на оплату, после чего цена за расшифровку удваивается – или конфиденциальные данные утекают в результате неуплаты до установленного срока. После оплаты жертва перенаправляется на страницу загрузки программы-дешифратора.
Программа-дешифратор кажется уникальной и предназначена для расшифровки только файлов конкретного пользователя, совершившего платеж. Вот почему каждой жертве дается уникальный ключ.
Жертвы NetWalker-а
Банда NetWalker была связана с серией атак на различные образовательные, государственные и коммерческие организации.
Среди его громких жертв – Университет штата Мичиган (MSU), Колумбийский колледж в Чикаго и Калифорнийский университет в Сан-Франциско (UCSF). Последний, по-видимому, заплатил выкуп в размере 1,14 миллиона долларов в обмен на инструмент для разблокировки зашифрованных данных.
Среди других его жертв – город Вайц в Австрии. Во время этой атаки была взломана система коммунального обслуживания города. Также просочились некоторые из их данных из строительных инспекций и приложений.
Не обошли стороной и медицинские учреждения: как сообщается, банда нацелена на район общественного здравоохранения Шампейн-Урбана (CHUPD) в Иллинойсе, Колледж медсестер Онтарио (CNO) в Канаде и Университетскую больницу Дюссельдорфа (UKD) в Германии.
В результате нападения на последнего, как полагают, один человек погиб после того, как пациент был вынужден отправиться в другую больницу, когда пострадали службы экстренной помощи в Дюссельдорфе.
Как защитить ваши данные от атак NetWalker
Остерегайтесь электронных писем и сообщений с просьбой перейти по ссылкам или загрузить файлы. Вместо того, чтобы сразу нажимать на ссылку, наведите на нее курсор, чтобы просмотреть весь URL-адрес, который должен появиться внизу вашего браузера. Не нажимайте на какие-либо ссылки электронной почты, пока вы точно не убедитесь, что они подлинные, что может означать обращение к отправителю в отдельной системе для проверки.
Вам также следует избегать загрузки поддельных приложений .
Убедитесь, что у вас установлен надежный антивирус и антивирус, которые регулярно обновляются. Они часто могут обнаруживать фишинговые ссылки в электронных письмах. Немедленно устанавливайте программные исправления, поскольку они предназначены для устранения уязвимостей, которыми часто пользуются киберпреступники.
Вам также необходимо защитить точки доступа вашей сети надежными паролями и использовать многофакторную аутентификацию (MFA) для защиты доступа к сети, другим компьютерам и службам в вашей организации. Также неплохо было бы делать регулярные резервные копии.
Стоит ли беспокоиться о NetWalker?
Хотя он еще не нацелен на отдельных конечных пользователей, NetWalker может использовать вас в качестве шлюза для проникновения в сети вашей организации через фишинговые электронные письма и вредоносные файлы или зараженные поддельные приложения.
Программы-вымогатели – это страшная вещь, но вы можете защитить себя, приняв разумные меры предосторожности, проявив бдительность и