Vse, kar morate vedeti o NetWalker Ransomware

Netwalker je vrsta odkupne programske opreme, ki cilja na sisteme, ki temeljijo na sistemu Windows.

Prvič odkrit avgusta 2019, se je razvijal do konca leta 2019 in do leta 2020. FBI je v času pandemije Covid-19 zabeležil pomembne konice napadov, usmerjenih v NetWalker.

Tukaj je tisto, kar morate vedeti o odškodninski programski opremi, ki je napadla glavne šole, zdravstvene sisteme in vladne institucije po ZDA in Evropi.

Kaj je NetWalker Ransomware?

Netwalker, prej imenovan Mailto, je izpopolnjena vrsta odkupne programske opreme, ki s šifriranjem onemogoči dostop do vseh kritičnih datotek, aplikacij in baz podatkov. Skupina, ki stoji za njo, zahteva plačilo s kriptovalutami v zameno za obnovitev podatkov in grozi, da bo žrtvine občutljive podatke objavila na "portalu za uhajanje", če odkupnine ne bodo plačane.

Znano je, da skupina sproža visoko usmerjene kampanje proti velikim organizacijam, predvsem z uporabo lažnega predstavljanja e-pošte, poslanega vstopnim točkam, da se infiltrira v omrežja.

Prejšnji vzorci zastrupljenih e-poštnih sporočil so pandemijo koronavirusa uporabljali kot vabo, s katero so žrtve kliknile na zlonamerne povezave ali prenesle okužene datoteke. Ko je računalnik okužen, se začne širiti in ogroža vse povezane naprave Windows.

Poleg širjenja po neželeni e-pošti se ta izsiljevalska programska oprema lahko maskira tudi kot priljubljena aplikacija za upravljanje gesel. Takoj ko uporabniki zaženejo lažno različico aplikacije, bodo njihove datoteke šifrirane.

Tako kot Dharma, Sodinokibi in drugi gnusne različice odkupne programske opreme, Operaterji NetWalker uporabljajo model ransomware-as-a-a-service (RaaS).

7 vrst odkupnih programov, ki vas bodo presenetile

Ransomware vas vedno preseneti, vendar te nove vrste odkupne programske opreme dvignejo na višjo (in bolj nadležno) raven.

Kaj je Ransomware-as-a-service?

Ransomware-as-a-service je odsek priljubljenega poslovnega modela SaaS s področja kibernetske kriminala kjer se programska oprema, ki je centralno gostovana v oblačni infrastrukturi, prodaja ali oddaja strankam na naročnino podlagi.

Pri prodaji odkupne programske opreme kot storitve pa je prodani material zlonamerna programska oprema, ki je zasnovana za izvajanje hudobnih napadov. Namesto kupcev razvijalci te odkupne programske opreme iščejo "podružnice", ki naj bi olajšale širjenje izsiljevalske programske opreme.

Sorodno: Ransomware-as-a-service bo vsem prinesel kaos

Če je napad uspešen, se denar za odkupnino razdeli med razvijalca odkupne programske opreme in podružnico, ki je distribuirala vnaprej zgrajeno odkupnino. Te podružnice običajno dobijo približno 70 do 80 odstotkov denarja za odkupnino. To je razmeroma nov in donosen poslovni model za kriminalne združbe.

Kako NetWalker uporablja model RaaS

Skupina NetWalker aktivno nabira "podružnice" na temnih spletnih forumih in ponuja orodja in infrastrukturo kiber kriminalcem, ki so že imeli izkušnje z infiltriranjem v velika omrežja. Po navedbah a poročilo po McAfeeju skupina išče rusko govoreče partnerje in tiste, ki že imajo oporo v mreži potencialnih žrtev.

Kakovost imajo prednost pred količino in imajo le omejene reže za partnerje. Ko bodo napolnjeni, prenehajo z zaposlovanjem in se bodo po forumih ponovno oglasili šele, ko se odpre mesto.

Kako se je razvil zapisnik NetWalker Ransom?

Prejšnje različice opominov o odkupnini NetWalker so, tako kot večina drugih opominov o odkupninah, imele razdelek »Pišite nam«, ki je uporabljal storitve anonimnega e-poštnega računa. Nato bi se žrtve obrnile na skupino in s tem olajšale plačilo.

Precej bolj dovršena različica, ki jo skupina uporablja od marca 2020, je e-poštno sporočilo preusmerila in ga nadomestila s sistemom, ki uporablja vmesnik NetWalker Tor.

Uporabnike prosimo, da prenesejo in namestijo brskalnik Tor in prejmejo osebno kodo. Po oddaji ključa prek spletnega obrazca bo žrtev preusmerjena v klepetalnico, da se bo pogovorila s "tehnično podporo" NetWalkerja.

Kako plačujete NetWalker?

Sistem NetWalker je organiziran podobno kot podjetja, na katera ciljajo. Izdajo celo podroben račun, ki vključuje stanje računa, tj. "Čakanje na plačilo", znesek, ki ga je treba poravnati, in čas, ki jim ostane za poravnavo.

Po poročilih imajo žrtve en teden časa za plačilo, nato pa se cena za dešifriranje podvoji - ali pa občutljivi podatki uhajajo kot posledica neplačila pred iztekom roka. Ko je plačilo izvedeno, se žrtev usmeri na stran za prenos programa za dešifriranje.

Zdi se, da je program za dešifriranje edinstven in je zasnovan tako, da dešifrira samo datoteke določenega uporabnika, ki je izvedel plačilo. Zato ima vsaka žrtev edinstven ključ.

Odmevne žrtve NetWalkerja

Skupina NetWalker je bila povezana z množico napadov na različne izobraževalne, vladne in poslovne organizacije.

Med odmevnejšimi žrtvami so Michigan State University (MSU), Columbia College v Chicagu in University of California San Francisco (UCSF). Ta je očitno v zameno za orodje za odklepanje šifriranih podatkov plačal 1,14 milijona dolarjev odkupnine.

Med ostalimi žrtvami je tudi mesto Weiz v Avstriji. Med tem napadom je bil ogrožen sistem javne službe v mestu. Prav tako so pricurljali nekateri njihovi podatki iz gradbenih inšpekcijskih pregledov in vlog.

Zdravstvene ustanove niso prizanesene: banda naj bi bila tarča okrožja za javno zdravje Champaign Urbana (CHUPD) v Illinoisu, College of Nurses of Ontario (CNO) v Kanadi in Univerzitetna bolnišnica Düsseldorf (UKD) v Nemčija.

Domnevamo, da je napad na slednjo povzročil eno smrt, potem ko je bil pacient prisiljen v drugo bolnišnico, ko so bile prizadete nujne službe v Dusseldorfu.

Kako zaščititi svoje podatke pred napadi na NetWalker

Pazite na e-pošto in sporočila, ki vas prosijo, da kliknete povezave ali prenesete datoteke. Namesto da takoj kliknete povezavo, premaknite miškin kazalec nad njo in preglejte celoten URL, ki naj se prikaže na dnu brskalnika. Ne kliknite nobene povezave do e-pošte, dokler niste prepričani, da je resnična, kar lahko pomeni, da se za preverjanje obrnete na pošiljatelja v ločenem sistemu.

Tudi ti moraš izogibajte se nalaganju lažnih aplikacij.

Prepričajte se, da imate nameščeno zanesljivo protivirusno in zlonamerno programsko opremo, ki se redno posodablja. Ti lahko pogosto zaznajo lažne povezave znotraj e-poštnih sporočil. Takoj namestite popravke programske opreme, saj so namenjeni odpravljanju ranljivosti, ki jih kiber kriminalci pogosto izkoriščajo.

Prav tako morate zaščititi dostopne točke svojega omrežja z močnimi gesli in uporabljati več faktorjev (MFA) za zaščito dostopa do omrežja, drugih računalnikov in storitev v vašem računalniku organizacija. Redna varnostna kopija je prav tako dobra ideja.

Bi vas moralo skrbeti NetWalker?

Čeprav še ne cilja na posamezne končne uporabnike, vas lahko NetWalker uporablja kot prehod za vdor v omrežja vaše organizacije prek lažnih e-poštnih sporočil in zlonamernih datotek ali okuženih lažnih aplikacij.

Izsiljevalska programska oprema je strašljiva stvar, vendar se lahko zaščitite s sprejemljivimi previdnostnimi ukrepi, pazljivostjo in

7 načinov, kako se izogniti napadom Ransomware

Ransomware vam lahko dobesedno uniči življenje. Ali delate dovolj, da ne bi izgubili osebnih podatkov in fotografij zaradi digitalnega izsiljevanja?

O avtorju