Minden, amit tudnia kell a NetWalker Ransomware-ről

A Netwalker egy olyan ransomware törzs, amely Windows alapú rendszereket céloz meg.

Először 2019 augusztusában fedezték fel, 2019 végéig és 2020-ig fejlődött. Az FBI a NetWalker célzott támadásaiban jelentős emelkedéseket észlelt a Covid-19 járvány csúcspontja alatt.

A következőket kell tudnia a ransomware-ről, amely az Egyesült Államokban és Európában megtámadta a főbb iskolákat, egészségügyi rendszereket és kormányzati intézményeket.

Mi az a NetWalker Ransomware?

Korábban Mailto néven a Netwalker egy kifinomult típusú ransomware, amely minden kritikus fájlt, alkalmazást és adatbázist titkosítással elérhetetlenné tesz. A mögötte álló csoport az adatok helyreállításáért cserébe kriptovaluta fizetést követel meg, és azzal fenyeget, hogy az áldozat érzékeny adatait egy "kiszivárogtató portálon" közzéteszi, ha a váltságdíjat nem fizetik meg.

A csoport köztudottan magasan célzott kampányokat indít nagy szervezetek ellen, főleg a belépési pontokhoz elküldött e-mail adathalászat segítségével, hogy beszivárogjon a hálózatokba.

A megmérgezett e-mailek korábbi mintái csalogatásként használták a koronavírus-járványt, hogy az áldozatok rákattintsanak rosszindulatú linkekre vagy letöltsék a fertőzött fájlokat. Miután a számítógép megfertőződött, elkezdi terjedni és veszélyezteti az összes csatlakoztatott Windows-eszközt.

A spam e-maileken keresztül terjedve ez a ransomware népszerű jelszókezelő alkalmazásnak is álcázhatja magát. Amint a felhasználók futtatják az alkalmazás hamis verzióját, fájljaikat titkosítják.

Mint Dharma, Sodinokibi és mások aljas ransomware-változatok, A NetWalker szolgáltatók a ransomware-as-a-service (RaaS) modellt használják.

7 típusú Ransomware, amely meglepetéssel viszi el

A Ransomware mindig meglep, de ezek az új típusú ransomware magasabb (és bosszantóbb) szintre emelik.

Mi az a Ransomware-As-A-Service?

A Ransomware-as-a-service a népszerű szoftver-as-a-service (SaaS) üzleti modell számítógépes bűnözés mellékterméke ahol előfizetéssel értékesítik vagy bérbe adják az ügyfeleknek a felhőinfrastruktúrán központilag tárolt szoftvereket alapján.

A ransomware szolgáltatásként történő értékesítése során azonban az eladott anyag rosszindulatú program, amelyet aljas támadások indítására terveztek. Az ügyfelek helyett ezek a ransomware fejlesztői "kapcsolt vállalkozásokat" keresnek, akik várhatóan megkönnyítik a ransomware terjedését.

Összefüggő: A Ransomware-as-a-Service mindenkinek káoszt hoz

Ha a támadás sikeres, a váltságdíjat megosztják a ransomware fejlesztője és az előre felépített ransomware terjesztő leányvállalata között. Ezek a leányvállalatok általában a váltságdíj 70-80 százalékát kapják. Ez egy viszonylag új és jövedelmező üzleti modell a bűnözői csoportok számára.

Hogyan használja a NetWalker az RaaS modellt

A NetWalker csoport aktívan toborzott "leányvállalatokat" a sötét webes fórumokon, és felajánlotta az eszközöket és az infrastruktúrát azoknak a számítógépes bűnözőknek, akiknek korábbi tapasztalataik vannak a nagy hálózatokba való beszivárgás terén. Szerint a jelentés a McAfee által a csoport orosz nyelvű partnereket keres, és olyanokat, akiknek már van egy lábuk egy potenciális áldozat hálózatában.

Előnyben részesítik a minőséget a mennyiség helyett, és a partnerek számára csak korlátozott bővítőhelyek állnak rendelkezésre. Amint ezek megteltek, abbahagyják a toborzást, és csak akkor hirdetnek újra a fórumokon, ha egy rés megnyílik.

Hogyan alakult a NetWalker Ransom Note?

A NetWalker váltságdíjas jegyzet korábbi verzióiban, hasonlóan a legtöbb váltságdíjas jegyzethez, volt egy „kapcsolatfelvétel” rész, amely névtelen e-mail fiók szolgáltatásokat használt. Az áldozatok ezután felvennék a kapcsolatot a csoporttal, és ezzel megkönnyítenék a fizetést.

A sokkal kifinomultabb verzió, amelyet a csoport 2020 márciusa óta használ, megsemmisítette az e-mailt, és a NetWalker Tor felületet használó rendszerrel helyettesítette.

A felhasználókat arra kérjük, hogy töltsék le és telepítsék a Tor böngészőt, és kapnak egy személyes kódot. Miután elküldte kulcsát az online űrlapon keresztül, az áldozatot átirányítják egy chat messengerbe, hogy beszéljen a NetWalker "technikai támogatásával".

Hogyan fizet a NetWalkerrel?

A NetWalker rendszer hasonlóan szerveződik, mint az általuk megcélzott vállalatok. Még egy részletes számlát is kiállítanak, amely tartalmazza a számla állapotát, vagyis a "fizetésre várást", az összeget, amelyet ki kell egyenlíteni, és a hátralévő időt a kiegyenlítésre.

A jelentések szerint az áldozatok egy hetet kapnak fizetésre, ezt követően megduplázódik a visszafejtés ára - vagy érzékeny adatok szivárognak ki a határidő lejárta előtti fizetés következményeként. A fizetés elvégzése után az áldozatot a visszafejtő program letöltési oldalára irányítják.

A visszafejtő program egyedülállónak tűnik, és csak a fizetést végző felhasználó fájljainak visszafejtésére szolgál. Ezért minden áldozat egyedi kulcsot kap.

Magas rangú NetWalker áldozatok

A NetWalker mögött álló bandát a különféle oktatási, kormányzati és üzleti szervezetek elleni támadások kísérik.

Jelentős áldozatai között szerepel a Michigani Állami Egyetem (MSU), a Chicagói Columbia Főiskola és a San Francisco-i Kaliforniai Egyetem (UCSF). Utóbbi nyilvánvalóan 1,14 millió dollár váltságdíjat fizetett a titkosított adatok feloldásának eszközéért cserébe.

További áldozatai közé tartozik az ausztriai Weiz városa. E támadás során veszélybe került a város közszolgáltatási rendszere. Épületvizsgálatokból és alkalmazásokból származó adatok egy része kiszivárgott.

Az egészségügyi intézményeket nem kímélték: a banda állítólag a Champaign Urbana közegészségügyi körzetet vette célba (CHUPD) Illinoisban, az Ontario-i Ápolók Főiskolája (CNO) Kanadában és a Düsseldorfi Egyetemi Kórház (UKD) Németország.

Az utóbbi elleni támadás vélhetően egy halált okozott, miután a beteget egy másik kórházba kellett kényszeríteni, amikor a düsseldorfi sürgősségi szolgálatokat érintették.

Hogyan védhetjük meg adatait a NetWalker támadásoktól

Legyen óvatos azoktól az e-mailektől és üzenetektől, amelyekben linkekre kattintásra vagy fájlok letöltésére kérnek. Ahelyett, hogy azonnal a linkre kattintana, mutasson rá az egérrel, hogy megvizsgálja a böngésző alján megjelenő teljes URL-t. Ne kattintson egyetlen e-mail linkre sem, amíg nem biztos benne, hogy eredeti-e, ami azt jelentheti, hogy egy külön rendszerben vegye fel a kapcsolatot a feladóval az ellenőrzés érdekében.

Neked is kell kerülje a hamis alkalmazások letöltését.

Győződjön meg arról, hogy megbízható víruskereső és rosszindulatú szoftverek vannak telepítve, amelyeket rendszeresen frissítenek. Ezek gyakran észreveszik az adathalász linkeket az e-mailekben. Telepítse azonnal a szoftverfoltokat, mivel ezek a számítógépes bűnözők által gyakran kihasználható sebezhetőségek kijavítására szolgálnak.

Emellett erős jelszavakkal kell megvédenie a hálózat hozzáférési pontjait, és többtényezőseket kell használnia hitelesítés (MFA) a hálózat, más számítógépek és szolgáltatások hozzáférésének védelme érdekében szervezet. Rendszeres biztonsági mentések készítése szintén jó ötlet.

Aggódnia kellene a NetWalker miatt?

Bár a NetWalker egyelőre nem célozza meg az egyes végfelhasználókat, átjáróként felhasználhatja Önt a szervezet hálózatának behatolására adathalász e-mailek és rosszindulatú fájlok vagy fertőzött hamis alkalmazások segítségével.

A Ransomware félelmetes dolog, de ésszerű óvintézkedésekkel, éberen és

7 módszer annak elkerülésére, hogy a Ransomware eltalálja

A Ransomware szó szerint tönkreteheti az életét. Eleget tesz annak elkerülése érdekében, hogy személyes adatait és fényképeit elveszítse a digitális zsarolás miatt?

A szerzőről