Netwalker عبارة عن سلسلة من فيروسات الفدية التي تستهدف الأنظمة المُستندة إلى Windows.
تم اكتشافه لأول مرة في أغسطس 2019 ، وتطور خلال الفترة المتبقية من عام 2019 وحتى عام 2020. وقد لاحظ مكتب التحقيقات الفيدرالي ارتفاعات كبيرة في الهجمات المعتمدة على NetWalker خلال ذروة جائحة Covid-19.
إليك ما تحتاج إلى معرفته حول برامج الفدية الضارة التي هاجمت المدارس الكبرى وأنظمة الرعاية الصحية والمؤسسات الحكومية في جميع أنحاء الولايات المتحدة وأوروبا.
ما هو NetWalker؟
كان يُعرف Netwalker سابقًا باسم Mailto ، وهو نوع مُتطور من برامج الفدية التي تجعل جميع الملفات والتطبيقات وقواعد البيانات الهامة غير قابلة للوصول من خلال تشفيرها. تطالب العصابة الإجرامية التي تقف وراءه بدفع العملة المشفرة مقابل استرداد البيانات وتُهدد بنشر البيانات الحساسة للضحية في “بوابة التسرب” إذا لم يتم دفع الفدية في الوقت المُحدد.
من المعروف أنَّ العصابة تطلق حملات عالية الاستهداف ضد المؤسسات الكبيرة ، باستخدام التصيد الاحتيالي عبر البريد الإلكتروني المرسل إلى نقاط الدخول للتسلل إلى الشبكات.
https://twitter.com/YongruiTan/status/1327057340403773440
استخدمت العينات السابقة من رسائل البريد الإلكتروني المسمومة جائحة فيروس كورونا كإغراء لجعل الضحايا ينقرون على الروابط الضارة أو من خلال جعلهم يقومون بتنزيل الملفات المصابة. بمجرد إصابة الكمبيوتر ، يبدأ في الانتشار ويخترق جميع أجهزة Windows المُتصلة.
بصرف النظر عن الانتشار عبر رسائل البريد الإلكتروني العشوائية ، يُمكن لبرنامج الفدية هذا أيضًا أن يتنكر على أنه تطبيق شائع لإدارة كلمات المرور. بمجرد تشغيل المستخدم للإصدار الزائف من التطبيق ، سيتم تشفير ملفاته.
مثل Dharma و Sodinokibi ومتغيرات برامج الفدية الشائنة الأخرى ، يستخدم مُشغّل NetWalker نموذج Ransomware-as-a-Service (RaaS).
ما هو نموذج RaaS؟
نموذج Ransomware-as-a-Service (RaaS هو فرع الجريمة الإلكترونية من نموذج الأعمال الشهير للبرمجيات كخدمة (SaaS) حيث يتم بيع البرامج المستضافة مركزياً على البنية التحتية السحابية أو تأجيرها للعملاء على أساس الاشتراك.
عند بيع برامج الفدية كخدمة ، فإن المواد المباعة هي برامج ضارة مصممة لشن هجمات شائنة. بدلاً من العملاء ، يبحث مطورو برامج الفدية هذه عن “الشركات التابعة” التي يُتوقع منها تسهيل انتشار برامج الفدية الضارة.
إذا نجح الهجوم ، فسيتم تقسيم أموال الفدية بين مطور برامج الفدية والشركة التابعة التي وزعت برامج الفدية التي تم إنشاؤها مسبقًا. عادة ما تحصل هذه الشركات التابعة على حوالي 70 إلى 80 بالمائة من أموال الفدية. إنه نموذج عمل جديد نسبيًا ومربح للجماعات الإجرامية.
كيف يستخدم NetWalker نموذج RaaS
According to a new report, #Netwalker #ransomware has generated a total of $25 million in ransom payments since March 1st. Netwalker is a #Ransomware-as-a-Service (#RaaS) operation.
From BleepingComputer:https://t.co/lMTX1mTpWY#V2Systems #ITProfessionals
(703) 215-2921 pic.twitter.com/qrN9QsxRUI— V2 Systems (@v2systems) August 5, 2020
تعمل مجموعة NetWalker بنشاط على تجنيد “المُنتسبين” في منتديات الويب المظلمة ، حيث تقدم الأدوات والبنية التحتية لمجرمي الإنترنت الذين لديهم خبرة سابقة في اختراق الشبكات الكبيرة. وفقًا لتقرير صادر عن McAfee ، تبحث المجموعة عن شركاء يتحدثون الروسية وأولئك الذين لديهم بالفعل موطئ قدم في شبكة ضحية مُحتملة.
حيث إنها تمنح الأولوية للجودة على الكمية ولديها فقط فتحات محدودة للشركاء. كما أنها تتوقف عن التجنيد بمجرد أن يتم ملأ المناصب المُتاحة ولن تُعلن عن التجنيد مرة أخرى إلا عبر المنتديات.
كيف تطورت ملاحظة فيروس الفدية NetWalker؟
الإصدارات السابقة من ملاحظة فيروس الفدية الخاصة بـ NetWalker ، مثل معظم ملاحظات الفدية الأخرى ، تحتوي على قسم “اتصل بنا” الذي يستخدم خدمات حساب بريد إلكتروني مجهول. ثم تتصل الضحية بالمجموعة ويسهل الدفع من خلال ذلك.
النسخة الأكثر تعقيدًا التي تستخدمها المجموعة منذ مارس 2020 تخلصت من البريد الإلكتروني واستبدلته بنظام يستخدم واجهة NetWalker Tor.
يُطلب من المستخدم تنزيل متصفح Tor وتثبيته ويتم إعطائه رمزًا شخصيًا. بعد تقديم الرمز المُخصص من خلال النموذج عبر الإنترنت ، سيتم إعادة توجيه الضحية إلى تطبيق دردشة للتحدث إلى “الدعم الفني” الخاص بـ NetWalker.
كيف تدفع لـ NetWalker؟
يتم تنظيم نظام NetWalker بنفس الشكل مثل الشركات التي يتم استهدافها. حتى أنه يتم إصدار فاتورة مفصلة تتضمن حالة الحساب ، أي “انتظار السداد” ، والمبلغ الذي يجب تسويته ، والوقت المتبقي لتسويته.
ووفقًا للتقارير ، تُمنح الضحية أسبوعًا واحدًا للدفع ، وبعد ذلك يتضاعف سعر فك التشفير — أو يتم تسريب البيانات الحساسة نتيجة عدم الدفع قبل الموعد النهائي. بمجرد أن يتم السداد ، يتم توجيه الضحية إلى صفحة تنزيل تطبيق فك التشفير.
يبدو أنَّ تطبيق فك التشفير فريد من نوعه ومُصمم لفك تشفير ملفات المستخدم المحدد الذي قام بالدفع فقط. هذا هو سبب إعطاء كل ضحية مفتاح فريد.
ضحايا NetWalker البارزين
تم ربط العصابة التي تقف وراء NetWalker بسلسلة من الهجمات على مختلف المؤسسات التعليمية والحكومية والتجارية.
ومن بين ضحاياها البارزين جامعة ولاية ميشيغان (MSU) ، وكلية كولومبيا في شيكاغو ، وجامعة كاليفورنيا سان فرانسيسكو (UCSF). يبدو أنَّ UCSF دفعت فدية بقيمة 1.14 مليون دولار مقابل تطبيق إلغاء تأمين البيانات المشفرة.
ومن بين ضحاياها الآخرين مدينة ويز في النمسا. خلال هذا الهجوم ، تعرض نظام الخدمة العامة في المدينة للخطر. كما تم تسريب بعض البيانات من عمليات التفتيش على المباني والتطبيقات.
لم يتم إستبعاد المؤسسات الصحية: ورد أنَّ العصابة استهدفت منطقة شامبين أوربانا للصحة العامة (CHUPD) في إلينوي ، وكلية ممرضات أونتاريو (CNO) في كندا ، ومستشفى دوسلدورف الجامعي (UKD) في ألمانيا.
يُعتقد أنَّ الهجوم على الأخير تسبب في وفاة شخص واحد بعد أن أُجبر المريض على الذهاب إلى مستشفى آخر عندما تأثرت خدمات الطوارئ في دوسلدورف.
كيف تحمي بياناتك من هجمات NetWalker
كن حذرًا من رسائل البريد الإلكتروني والرسائل التي تطلب منك النقر فوق الروابط أو تنزيل الملفات. بدلاً من النقر فوق الارتباط على الفور ، قم بالتمرير فوقه لفحص عنوان URL بالكامل الذي يجب أن يظهر في الجزء السفلي من المتصفح. لا تنقر فوق أي روابط بريد إلكتروني حتى تكون متأكدًا من أنها أصلية ، مما قد يعني الاتصال بالمرسل على نظام منفصل للتحقق.
تحتاج أيضًا إلى تجنب تنزيل التطبيقات المزيفة.
تأكد من أن لديك تطبيق جيد لمكافحة الفيروسات والبرامج الضارة مثبت ويتم تحديثه بانتظام. بحيث يمكن له غالبًا اكتشاف روابط التصيد داخل رسائل البريد الإلكتروني. كما يجب تثبيت تصحيحات التطبيقات ونظام التشغيل على الفور لأنها مصممة لإصلاح نقاط الضعف التي يستغلها مجرمو الإنترنت بشكل متكرر.
تحتاج أيضًا إلى حماية نقاط الوصول الخاصة بشبكتك بكلمات مرور قوية واستخدام مصادقة متعددة العوامل (MFA) لحماية الوصول إلى الشبكة وأجهزة الكمبيوتر الأخرى والخدمات في مؤسستك. يعد أخذ نسخ احتياطية بشكل منتظم فكرة جيدة أيضًا.
هل يجب أن تقلق بشأن NetWalker؟
في حين أنه لم يتم استهداف المُستخدمين النهائيين الفرديين حتى الآن ، يُمكن لـ NetWalker استخدام نظامك كبوابة للتسلل إلى شبكات مؤسستك من خلال رسائل البريد الإلكتروني المخادعة والملفات الضارة أو التطبيقات الزائفة المصابة.
تُعد برامج الفدية أمرًا مخيفًا ، ولكن يمكنك حماية نفسك من خلال اتخاذ احتياطات معقولة والبقاء متيقظًا. تعرف على كيف تحمي نفسك من التجسس الغير أخلاقي أو الغير قانوني
