Všetko, čo potrebujete vedieť o ransomvéri NetWalker

Netwalker je kmeň ransomvéru, ktorý sa zameriava na systémy založené na systéme Windows.

Prvýkrát objavený v auguste 2019 sa vyvinul počas zvyšku roku 2019 a do roku 2020. Počas vrcholenia pandémie Covid-19 zaznamenala FBI významné nárasty útokov zameraných na NetWalker.

Tu je to, čo potrebujete vedieť o ransomvéri, ktorý napadol veľké školy, systémy zdravotnej starostlivosti a vládne inštitúcie v USA a Európe.

Čo je NetWalker Ransomware?

Netwalker, ktorý sa predtým volal Mailto, je prepracovaný typ ransomvéru, vďaka ktorému sú všetky dôležité súbory, aplikácie a databázy neprístupné šifrovaním. Skupina, ktorá stojí za tým, požaduje výmenu kryptomeny výmenou za obnovu dát a hrozí zverejnením citlivých údajov obete na „únikovom portáli“, ak nebudú zaplatené výkupné.

Je známe, že skupina vedie vysoko cielené kampane proti veľkým organizáciám, hlavne pomocou phishingu e-mailov odoslaných na vstupné body na prenikanie do sietí.

Predchádzajúce vzorky otrávených e-mailov používali pandémiu koronavírusu ako lákadlo, vďaka ktorému obete klikali na škodlivé odkazy alebo sťahovali infikované súbory. Po infikovaní počítača sa začne šíriť a ohrozuje všetky pripojené zariadenia so systémom Windows.

Okrem šírenia prostredníctvom nevyžiadaných e-mailov sa tento ransomvér môže maskovať aj ako populárna aplikácia na správu hesiel. Akonáhle používatelia spustia falošnú verziu aplikácie, ich súbory budú zašifrované.

Rovnako ako Dharma, Sodinokibi a ďalšie hanebné varianty ransomvéru, Prevádzkovatelia servera NetWalker používajú model ransomware ako služba (RaaS).

7 typov ransomvéru, ktoré vás prekvapia

Ransomvér vás vždy prekvapí, ale tieto nové typy ransomvéru ho posúvajú na vyššiu (a nepríjemnejšiu) úroveň.

Čo je služba Ransomware ako služba?

Ransomvér ako služba je odnož počítačového zločinu populárneho obchodného modelu softvér ako služba (SaaS) kde sa softvér predávaný centrálne na cloudovej infraštruktúre predáva alebo prenajíma zákazníkom na základe predplatného základe.

Pri predaji ransomvéru ako služby je však predávaným materiálom malware, ktorý je navrhnutý tak, aby uskutočňoval nekalé útoky. Namiesto zákazníkov vyhľadávajú vývojári tohto ransomvéru „pridružené spoločnosti“, od ktorých sa očakáva, že uľahčia šírenie ransomvéru.

Súvisiace: Ransomvér ako služba prinesie všetkým chaos

Ak je útok úspešný, výkupné sa rozdelí medzi vývojára ransomvéru a pobočku, ktorá distribuovala vopred zostavený ransomvér. Tieto pobočky zvyčajne získavajú okolo 70 až 80 percent výkupných peňazí. Je to relatívne nový a lukratívny obchodný model pre zločinecké skupiny.

Ako NetWalker používa model RaaS

Skupina NetWalker aktívne prijíma „pridružených spoločností“ na temných webových fórach a ponúka nástroje a infraštruktúru počítačovým zločincom, ktorí majú predchádzajúce skúsenosti s prenikaním do veľkých sietí. Podľa a správa spoločnosťou McAfee skupina hľadá partnerov, ktorí hovoria po rusky, a tých, ktorí už majú zastúpenie v sieti potenciálnych obetí.

Uprednostňujú kvalitu pred kvantitou a pre partnerov majú iba obmedzený priestor. Po ich vyplnení prestanú nábor vykonávať a inzerovať prostredníctvom fór budú opäť až po otvorení prevádzkového priestoru.

Ako sa vyvíjal NetWalker Ransom Note?

Predchádzajúce verzie výkupnej poznámky NetWalker, rovnako ako väčšina ostatných výkupných poznámok, obsahovali časť „kontaktujte nás“, ktorá využívala služby anonymných e-mailových účtov. Obete by potom kontaktovali skupinu a uľahčili jej platbu.

Oveľa sofistikovanejšia verzia, ktorú skupina používa od marca 2020, e-mail vypustila a nahradila ho systémom využívajúcim rozhranie NetWalker Tor.

Používatelia sú požiadaní, aby si stiahli a nainštalovali prehliadač Tor, a dostanú osobný kód. Po zadaní kľúča prostredníctvom online formulára bude obeť presmerovaná na chatovacieho kuriéra, ktorý sa porozpráva s „technickou podporou“ NetWalker.

Ako platíte NetWalkera?

Systém NetWalker je organizovaný podobne ako spoločnosti, na ktoré sa zameriavajú. Dokonca vystavia podrobnú faktúru, ktorá obsahuje stav účtu, tj. „Čaká na platbu“, sumu, ktorú je potrebné vyrovnať, a čas, ktorý im zostáva na vyrovnanie.

Podľa správ majú obete jeden týždeň na zaplatenie, potom sa cena za dešifrovanie zdvojnásobí - alebo dôjde k úniku citlivých údajov v dôsledku nezaplatenia pred stanoveným termínom. Po vykonaní platby je obeť presmerovaná na stránku na stiahnutie programu decryptor.

Program decryptor sa javí ako jedinečný a je navrhnutý tak, aby dešifroval iba súbory konkrétneho používateľa, ktorý uskutočnil platbu. Z tohto dôvodu dostane každá obeť jedinečný kľúč.

Vysoko profilované obete NetWalker

Gang stojaci za spoločnosťou NetWalker bol spájaný s hromadou útokov na rôzne vzdelávacie, vládne a obchodné organizácie.

Medzi jej významné obete patria Michiganská štátna univerzita (MSU), Columbia College of Chicago a Kalifornská univerzita v San Franciscu (UCSF). Ten zjavne zaplatil výkupné vo výške 1,14 milióna dolárov výmenou za nástroj na odblokovanie šifrovaných údajov.

Medzi ďalšie jeho obete patrí mesto Weiz v Rakúsku. Počas tohto útoku bol narušený systém verejnej služby mesta. Unikli tiež niektoré z ich údajov z kolaudácií a aplikácií.

Zdravotnícke inštitúcie neboli ušetrené: gang sa údajne zameral na oblasť verejného zdravia Champaign Urbana (CHUPD) v Illinois, The College of Nurses of Ontario (CNO) v Kanade a University Hospital Düsseldorf (UKD) v Nemecko.

Predpokladá sa, že útok na posledne menovaného spôsobil jedno úmrtie po tom, čo bol pacient nútený odísť do inej nemocnice, keď boli postihnuté pohotovostné služby v Dusseldorfe.

Ako chrániť vaše údaje pred útokmi NetWalker

Dajte si pozor na e-maily a správy, ktoré vás žiadajú o kliknutie na odkazy alebo sťahovanie súborov. Namiesto priameho kliknutia na odkaz umiestnite kurzor myši na ňu a preskúmajte celú adresu URL, ktorá by sa mala zobraziť v dolnej časti prehľadávača. Neklikajte na žiadne e-mailové odkazy, kým si nebudete istí, že sú pravé, čo môže znamenať kontaktovať odosielateľa v samostatnom systéme a skontrolovať ich.

Tiež musíte vyhýbajte sa sťahovaniu falošných aplikácií.

Uistite sa, že máte nainštalovaný spoľahlivý antivírus a anti-malware, ktorý je pravidelne aktualizovaný. Často môžu v e-mailoch zistiť phishingové odkazy. Nainštalujte ihneď softvérové ​​opravy, pretože sú určené na opravu slabých miest, ktoré zločinci často zneužívajú.

Musíte tiež chrániť prístupové body svojej siete silnými heslami a používať viacfaktorové pripojenie autentifikácia (MFA) na ochranu prístupu k sieti, iným počítačom a službám vo vašom počítači Organizácia. Dobrý nápad je aj pravidelné zálohovanie.

Mali by ste sa obávať NetWalker?

Aj keď zatiaľ nie je zameraný na jednotlivých koncových používateľov, NetWalker vás môže použiť ako bránu na preniknutie do sietí vašej organizácie prostredníctvom phishingových e-mailov a škodlivých súborov alebo infikovaných falošných aplikácií.

Ransomvér je strašidelná vec, ale môžete sa chrániť prijatím rozumných opatrení, opatrnosťou a

7 spôsobov, ako sa vyhnúť zásahu ransomvérom

Ransomvér vám môže doslova zničiť život. Robíte dosť pre to, aby ste nestratili svoje osobné údaje a fotografie digitálnym vydieraním?

O autorovi