Netwalker - это серия программ-вымогателей, нацеленных на системы на базе Windows.
Впервые он был обнаружен в августе 2019 года и развивался в течение оставшейся части 2019 года по 2020 год. ФБР отметило значительный всплеск атак, зависящих от NetWalker, в разгар пандемии Covid-19.
Вот что вам нужно знать о программах-вымогателях, которые атаковали крупные школы, системы здравоохранения и государственные учреждения в Соединенных Штатах и Европе.
Что такое NetWalker?
Netwalker, ранее известный как Mailto, представляет собой сложный тип вымогателя, который делает все важные файлы, приложения и базы данных недоступными путем их шифрования. Преступная банда, стоящая за этим, требует криптовалюту для восстановления данных и угрожает опубликовать конфиденциальные данные жертвы в «воротах утечки», если выкуп не будет выплачен вовремя.
Известно, что банда запускает целенаправленные кампании против крупных организаций, используя фишинговые электронные письма, отправляемые в точки входа, для проникновения в сети.
https://twitter.com/YongruiTan/status/1327057340403773440
Предыдущие образцы электронных писем о пандемии коронавируса использовались в качестве приманки, чтобы заставить жертв переходить по вредоносным ссылкам или заставлять их загружать зараженные файлы. После заражения компьютер начинает распространяться и заражать все подключенные устройства Windows.
Помимо распространения через спам-сообщения, этот вымогатель также может маскироваться под популярное приложение для управления паролями. Как только пользователь запустит фиктивную версию приложения, ее файлы будут зашифрованы.
Как и Dharma, Sodinokibi и другие гнусные варианты программ-вымогателей, программа запуска NetWalker использует модель «вымогатель как услуга» (RaaS).
Что такое модель RaaS?
Модель «Программа-вымогатель как услуга» (RaaS) - это киберпреступная ветвь популярной бизнес-модели «программное обеспечение как услуга» (SaaS), в которой программное обеспечение, размещенное централизованно в облачной инфраструктуре, продается или сдается в аренду клиентам по подписке.
Когда программа-вымогатель продается как услуга, продаваемые предметы представляют собой вредоносное ПО, предназначенное для проведения гнусных атак. Вместо клиентов эти разработчики программ-вымогателей ищут «аффилированных лиц», которые, как ожидается, будут способствовать распространению программ-вымогателей.
Если атака будет успешной, выкуп будет разделен между разработчиком программы-вымогателя и дочерней компанией, которая распространила ранее созданную программу-вымогатель. Эти аффилированные лица обычно получают от 70 до 80 процентов выкупа. Это относительно новая и прибыльная бизнес-модель для преступных группировок.
Как NetWalker использует модель RaaS
Согласно новому докладу, # Netwalker #ransomware с 25 марта собрала в общей сложности 1 миллионов долларов в виде выкупа. Netwalker - это #Ransomwareкак услуга (#RaaS) операция.
С BleepingComputer:https://t.co/lMTX1mTpWY# V2Systems #ITПрофессионалы
(703) 215-2921 pic.twitter.com/qrN9QsxRUI- Системы V2 (@ v2systems) 5 августа 2020
NetWalker Group активно набирает «аффилированных лиц» в Темные веб-форумы Он предоставляет инструменты и инфраструктуру для киберпреступников, имеющих опыт проникновения в большие сети. Согласно отчету McAfee Группа ищет русскоязычных партнеров и тех, кто уже закрепился в сети потенциальной жертвы.
В нем качество важнее количества, а количество мест для партнеров ограничено. Он также прекращает набор, как только доступные вакансии будут заполнены, и будет только объявлять о найме снова через форумы.
Как появилась заметка о программе-вымогателе NetWalker?
Предыдущие версии записки о выкупе NetWalker, как и большинство других записок о выкупе, имели раздел «Свяжитесь с нами», в котором использовались услуги анонимной учетной записи электронной почты. Затем жертва связывается с группой, и через это упрощается оплата.
Более сложная версия, которую группа использует с марта 2020 года, избавилась от электронной почты и заменила ее системой, использующей интерфейс NetWalker Tor.
Пользователя просят загрузить и установить браузер Tor и получить личный код. После отправки пользовательского кода через онлайн-форму жертва будет перенаправлена в приложение чата для разговора со службой технической поддержки NetWalker.
Как вы платите NetWalker?
Система NetWalker организована так же, как и целевые компании. Выдается даже подробный счет-фактура, который включает в себя статус счета, то есть «Ожидается платеж», сумму, подлежащую сопоставлению, и время, оставшееся для расчета.
Согласно сообщениям, жертве дается одна неделя на оплату, после чего цена расшифровки удваивается - или конфиденциальные данные утекают в результате неуплаты до истечения крайнего срока. После оплаты жертва перенаправляется на страницу загрузки приложения для расшифровки.
Приложение для расшифровки кажется уникальным и предназначено для расшифровки только файлов конкретного пользователя, совершившего платеж. Вот почему каждой жертве дается уникальный ключ.
Известные жертвы NetWalker-а
Банда NetWalker была связана с серией атак на различные образовательные, правительственные и коммерческие учреждения.
Среди его известных жертв - Университет штата Мичиган (MSU), Колумбийский колледж в Чикаго и Калифорнийский университет в Сан-Франциско (UCSF). Похоже, что UCSF заплатил выкуп в размере 1.14 миллиона долларов за приложение для разблокировки зашифрованных данных.
Среди других его жертв - город Визе в Австрии. Во время этой атаки была взломана система коммунального обслуживания города. Также просочились некоторые данные инспекций зданий и приложений.
Медицинские учреждения не были исключены: как сообщается, банда нацелена на район общественного здравоохранения Шампейн-Урбана (CHUPD) в Иллинойсе, Колледж медсестер Онтарио (CNO) в Канаде и университетскую больницу Дюссельдорфа (UKD) в Германии.
Предполагается, что в результате нападения на последний погиб один человек после того, как пациент был вынужден обратиться в другую больницу, когда пострадали службы экстренной помощи в Дюссельдорфе.
Как защитить свои данные от атак NetWalker
Остерегайтесь электронных писем и сообщений, в которых вас просят щелкнуть ссылки или загрузить файлы. Вместо того, чтобы сразу щелкать ссылку, наведите на нее курсор, чтобы просмотреть весь URL-адрес, который должен появиться в нижней части браузера. Не нажимайте на какие-либо ссылки электронной почты, пока не убедитесь, что они подлинные, что может означать обращение к отправителю в отдельной системе для проверки.
Вам также нужно избегать загрузки поддельных приложений.
Убедитесь, что у вас установлены и регулярно обновляются хорошие антивирусные программы и антивирусные программы. Он часто может обнаруживать фишинговые ссылки в электронных письмах. Исправления для приложений и операционной системы также должны быть установлены немедленно, поскольку они предназначены для исправления уязвимостей, которые он использует. Интернет-преступники часто.
Вам также необходимо защитить точки доступа вашей сети надежными паролями и использовать многофакторную аутентификацию (MFA) для защиты доступа к вашей сети и другим компьютерам и службам в вашей организации. Регулярное резервное копирование также является хорошей идеей.
Стоит ли беспокоиться о NetWalker?
Хотя отдельные конечные пользователи еще не были нацелены, NetWalker может использовать вашу систему в качестве шлюза для проникновения в сети вашей организации фишинговых писем, вредоносных файлов или зараженных поддельных приложений.
Программы-вымогатели устрашающи, но вы можете защитить себя, приняв разумные меры предосторожности и проявив бдительность. узнай меня Как защитить себя от неэтичного или незаконного шпионажа