Alt du trenger å vite om NetWalker Ransomware

Netwalker er en stamme av løsepenger som er rettet mot Windows-baserte systemer.

Først oppdaget i august 2019, utviklet den seg gjennom resten av 2019 og til 2020. Betydelige pigger i NetWalker-målrettede angrep ble observert av FBI under høyden av Covid-19-pandemien.

Her er hva du trenger å vite om løsepenger som har angrepet store skoler, helsesystemer og offentlige institusjoner i hele USA og Europa.

Hva er NetWalker Ransomware?

Tidligere kalt Mailto, Netwalker er en sofistikert type løsepenger som gjør alle kritiske filer, applikasjoner og databaser utilgjengelige gjennom kryptering. Gruppen bak krever kreftbetaling i bytte mot datagjenoppretting og truer med å publisere offerets sensitive data i en "lekkasjeportal" hvis løsepenger ikke betales.

Gruppen er kjent for å lansere svært målrettede kampanjer mot store organisasjoner, hovedsakelig ved hjelp av phishing via e-post sendt til inngangspunkter for å infiltrere nettverk.

Tidligere prøver av forgiftede e-postmeldinger brukte koronaviruspandemien som et lokke for å få ofrene til å klikke på ondsinnede lenker eller laste ned infiserte filer. Når en datamaskin har blitt infisert, begynner den å spre seg og kompromitterer alle tilkoblede Windows-enheter.

Bortsett fra å spre seg via spam-e-post, kan denne ransomware også forkle seg som en populær app for passordadministrasjon. Så snart brukere kjører den falske versjonen av appen, blir filene deres kryptert.

Som Dharma, Sodinokibi og annet skumle løsepengervarianter, Bruker NetWalker-operatører ransomware-as-a-service (RaaS) -modellen.

7 typer løsepenger som vil overraske deg

Ransomware overrasker deg alltid, men disse nye typene ransomware tar det til et høyere (og mer irriterende) nivå.

Hva er Ransomware-As-A-Service?

Ransomware-as-a-service er nettkriminell utløp av den populære programvaren-as-a-service (SaaS) forretningsmodell der programvare som er sentralt vert på skyinfrastruktur selges eller leies ut til kunder i abonnement basis.

Når det gjelder å selge løsepenger som en tjeneste, er det solgte materialet imidlertid skadelig programvare som er designet for å lansere skumle angrep. I stedet for kunder søker utviklerne av disse løsepenger "tilknyttede selskaper" som forventes å legge til rette for spredning av ransomware.

I slekt: Ransomware-as-a-Service vil bringe kaos til alle

Hvis angrepet lykkes, deles løsepengene mellom utvikleren av ransomware og datterselskapet som distribuerte den ferdigbygde ransomware. Disse tilknyttede selskapene får normalt rundt 70 til 80 prosent av løsepengene. Det er en relativt ny og innbringende forretningsmodell for kriminelle grupper.

Hvordan NetWalker bruker RaaS-modellen

NetWalker-gruppen har aktivt rekruttert "tilknyttede selskaper" på mørke nettfora, og tilbyr verktøy og infrastruktur til nettkriminelle som har tidligere erfaring med å infiltrere store nettverk. I følge en rapportere av McAfee, søker gruppen partnere som er russiskspråklige og de som allerede har fotfeste i et potensielt offers nettverk.

De prioriterer kvalitet fremfor kvantitet og har bare begrensede spor for partnere. De slutter å rekruttere når disse er fylt ut og vil kun annonsere via forumene igjen når det blir åpnet et spor.

Hvordan utviklet NetWalker Ransom Note seg?

Tidligere versjoner av NetWalker løsepenger, i likhet med de fleste andre løsepenger, hadde en "kontakt oss" -avdeling som brukte anonyme e-postkontotjenester. Ofrene ville da kontakte gruppen og legge til rette for betaling gjennom dette.

Den mye mer sofistikerte versjonen som gruppen har brukt siden mars 2020, fjernet e-posten og erstattet den med et system ved hjelp av NetWalker Tor-grensesnittet.

Brukere blir bedt om å laste ned og installere Tor Browser og får en personlig kode. Etter å ha sendt nøkkelen gjennom det elektroniske skjemaet, blir offeret omdirigert til en chat-messenger for å snakke med NetWalker "teknisk støtte".

Hvordan betaler du NetWalker?

NetWalker-systemet er organisert omtrent som selskapene de retter seg mot. De utsteder til og med en detaljert faktura som inkluderer status for kontoen, dvs. "venter på betaling", beløpet som må gjøres opp og tiden de har igjen til å gjøre opp.

Ifølge rapporter får ofrene en uke til å betale, hvoretter prisen for dekryptering dobler seg - eller sensitive data lekker som en konsekvens av manglende betaling før fristen. Når betalingen er utført, blir offeret sendt til en nedlastingsside for dekrypteringsprogrammet.

Dekrypteringsprogrammet ser ut til å være unikt og er designet for å dekryptere bare filene til den spesifikke brukeren som betalte. Dette er grunnen til at hvert offer får en unik nøkkel.

Høyprofilerte NetWalker-ofre

Gjengen bak NetWalker har vært knyttet til et stort angrep mot forskjellige utdannings-, myndighets- og næringsorganisasjoner.

Blant de høyt profilerte ofrene er Michigan State University (MSU), Columbia College of Chicago og University of California San Francisco (UCSF). Sistnevnte betalte tilsynelatende en løsesum på 1,14 millioner dollar i bytte mot et verktøy for å låse opp de krypterte dataene.

Dens andre ofre inkluderer byen Weiz i Østerrike. Under dette angrepet kom byens offentlige tjenestesystem i fare. Noen av dataene fra bygningsinspeksjoner og applikasjoner ble også lekket.

Helseinstitusjoner er ikke blitt spart: gjengen angivelig målrettet mot Champaign Urbana Public Health District (CHUPD) i Illinois, College of Nurses of Ontario (CNO) i Canada, og Universitetssykehuset Düsseldorf (UKD) i Tyskland.

Angrepet mot sistnevnte antas å ha forårsaket en død etter at pasienten ble tvunget til å gå til et annet sykehus da beredskapstjenester i Düsseldorf ble rammet.

Hvordan beskytte dataene dine mot NetWalker-angrep

Vær forsiktig med e-post og meldinger der du blir bedt om å klikke på lenker eller laste ned filer. I stedet for å klikke på lenken med en gang, hold markøren over den for å undersøke hele URL-en som skal vises nederst i nettleseren din. Ikke klikk på noen e-postkoblinger før du er helt sikker på at den er ekte, noe som kan bety at du kontakter avsenderen på et eget system for å sjekke.

Du må også unngå å laste ned falske apper.

Sørg for at du har installert pålitelig antivirus og skadelig programvare som oppdateres regelmessig. Disse kan ofte oppdage phishing-lenker i e-post. Installer programvareoppdateringer med en gang, siden disse er designet for å fikse sårbarheter nettkriminelle ofte utnytter.

Du må også beskytte nettverkets tilgangspunkter med sterke passord og bruke multifaktor godkjenning (MFA) for å beskytte tilgang til nettverket, andre datamaskiner og tjenester i din organisasjon. Å ta regelmessige sikkerhetskopier er også en god idé.

Bør du være bekymret for NetWalker?

Selv om det ikke er rettet mot individuelle sluttbrukere ennå, kan NetWalker bruke deg som gateway for å infiltrere organisasjonens nettverk gjennom phishing-e-post og ondsinnede filer eller infiserte falske apper.

Ransomware er en skummel ting, men du kan beskytte deg selv ved å ta fornuftige forholdsregler, være årvåken og

7 måter å unngå å bli rammet av Ransomware

Ransomware kan bokstavelig talt ødelegge livet ditt. Gjør du nok for å unngå å miste dine personlige data og bilder til digital utpressing?

Om forfatteren