Все, что вам нужно знать о программе-вымогателе NetWalker

Netwalker - это разновидность программ-вымогателей, нацеленных на системы на базе Windows.

Впервые обнаруженный в августе 2019 года, он развивался на протяжении остальной части 2019 года и до 2020 года. Значительный всплеск целевых атак NetWalker был отмечен ФБР в разгар пандемии Covid-19.

Вот что вам нужно знать о программах-вымогателях, которые атаковали крупные школы, системы здравоохранения и государственные учреждения в США и Европе.

Что такое NetWalker Ransomware?

Netwalker, ранее называвшийся Mailto, представляет собой сложный тип вымогателя, который делает все важные файлы, приложения и базы данных недоступными с помощью шифрования. Группа, стоящая за этим, требует оплаты криптовалютой в обмен на восстановление данных и угрожает опубликовать конфиденциальные данные жертвы на «портале утечек», если выкуп не будет уплачен.

Известно, что эта группа запускает целенаправленные кампании против крупных организаций, в основном используя фишинг электронной почты, отправляемый в точки входа для проникновения в сети.

Предыдущие образцы отравленных писем использовали пандемию коронавируса как приманку, чтобы заставить жертв переходить по вредоносным ссылкам или загружать зараженные файлы. После заражения компьютер начинает распространяться и ставит под угрозу все подключенные устройства Windows.

Помимо распространения через спам-сообщения, эта программа-вымогатель также может маскироваться под популярное приложение для управления паролями. Как только пользователи запускают фиктивную версию приложения, их файлы будут зашифрованы.

Как Дхарма, Содинокиби и другие гнусные варианты программ-вымогателей, Операторы NetWalker используют модель «программа-вымогатель как услуга» (RaaS).

7 типов программ-вымогателей, которые удивят вас

Программы-вымогатели всегда застают вас врасплох, но эти новые типы программ-вымогателей выводят их на более высокий (и более раздражающий) уровень.

Что такое программа-вымогатель как услуга?

Программа-вымогатель как услуга является ответвлением киберпреступности популярной бизнес-модели «программное обеспечение как услуга» (SaaS). где программное обеспечение, централизованно размещенное в облачной инфраструктуре, продается или сдается клиентам по подписке. основание.

Однако при продаже программ-вымогателей в качестве услуги продаваемый материал представляет собой вредоносное ПО, предназначенное для проведения гнусных атак. Вместо клиентов разработчики этих программ-вымогателей ищут «аффилированных лиц», которые, как ожидается, будут способствовать распространению вымогателей.

Связанный: Программа-вымогатель как услуга принесет хаос каждому

Если атака успешна, выкуп делится между разработчиком программы-вымогателя и аффилированным лицом, распространившим предварительно созданную программу-вымогатель. Эти аффилированные лица обычно получают от 70 до 80 процентов выкупа. Это относительно новая и прибыльная бизнес-модель для преступных групп.

Как NetWalker использует модель RaaS

Группа NetWalker активно набирает «партнеров» на форумах дарквеба, предлагая инструменты и инфраструктуру киберпреступникам, у которых есть предыдущий опыт проникновения в большие сети. Согласно отчет с помощью McAfee группа ищет партнеров, говорящих по-русски и тех, кто уже имеет точку опоры в сети потенциальной жертвы.

Для них качество важнее количества, а количество мест для партнеров ограничено. Они прекращают набор, как только они будут заполнены, и будут снова размещать рекламу на форумах только после того, как откроется слот.

Как развивалась записка о выкупе NetWalker?

В предыдущих версиях записки о выкупе NetWalker, как и в большинстве других записок о выкупе, был раздел «свяжитесь с нами», в котором использовались анонимные почтовые службы. После этого жертвы связывались с группой и таким образом способствовали оплате.

В гораздо более сложной версии, которую группа использует с марта 2020 года, электронная почта была заменена системой, использующей интерфейс NetWalker Tor.

Пользователям предлагается загрузить и установить браузер Tor, и им предоставляется личный код. После отправки ключа через онлайн-форму жертва будет перенаправлена ​​в чат-мессенджер, чтобы поговорить с «технической поддержкой» NetWalker.

Как вы платите NetWalker?

Система NetWalker устроена так же, как и компании, на которые они нацелены. Они даже выставляют подробный счет-фактуру, в котором указывается статус счета, то есть «ожидает платежа», сумма, которая должна быть оплачена, и время, которое у них осталось для оплаты.

Согласно сообщениям, жертвам дается одна неделя на оплату, после чего цена за расшифровку удваивается - или конфиденциальные данные утекают в результате неуплаты до установленного срока. После оплаты жертва направляется на страницу загрузки программы-дешифратора.

Программа-дешифратор кажется уникальной и предназначена для дешифрования только файлов конкретного пользователя, совершившего платеж. Вот почему каждой жертве дается уникальный ключ.

Известные жертвы NetWalker-а

Банда NetWalker была связана с серией атак на различные образовательные, правительственные и коммерческие организации.

Среди его громких жертв - Университет штата Мичиган (MSU), Колумбийский колледж в Чикаго и Калифорнийский университет в Сан-Франциско (UCSF). Последний, по-видимому, заплатил выкуп в размере 1,14 миллиона долларов в обмен на инструмент для разблокировки зашифрованных данных.

Среди других его жертв - город Вайц в Австрии. Во время этой атаки была взломана система коммунального обслуживания города. Также просочились некоторые из их данных из строительных инспекций и приложений.

Не обошли стороной и медицинские учреждения: как сообщается, банда нацелена на район общественного здравоохранения Шампейн-Урбана. (CHUPD) в Иллинойсе, Колледж медсестер Онтарио (CNO) в Канаде и Университетская больница Дюссельдорфа (UKD) в Германия.

Предполагается, что нападение на последнего привело к гибели одного пациента после того, как пациент был вынужден отправиться в другую больницу, когда пострадали службы экстренной помощи в Дюссельдорфе.

Как защитить свои данные от атак NetWalker

Остерегайтесь электронных писем и сообщений с просьбой щелкнуть ссылки или загрузить файлы. Вместо того, чтобы сразу нажимать на ссылку, наведите на нее курсор, чтобы просмотреть весь URL-адрес, который должен появиться в нижней части браузера. Не нажимайте на какие-либо ссылки электронной почты, пока не убедитесь, что они подлинные, что может означать обращение к отправителю в отдельной системе для проверки.

Вам также необходимо избегайте загрузки поддельных приложений.

Убедитесь, что у вас установлены надежные антивирусные программы и средства защиты от вредоносных программ, которые регулярно обновляются. Они часто могут обнаруживать фишинговые ссылки в электронных письмах. Немедленно устанавливайте программные исправления, поскольку они предназначены для устранения уязвимостей, которыми часто пользуются киберпреступники.

Вам также необходимо защитить точки доступа вашей сети надежными паролями и использовать многофакторную аутентификация (MFA) для защиты доступа к сети, другим компьютерам и службам в вашем организация. Также неплохо было бы делать регулярные резервные копии.

Стоит ли беспокоиться о NetWalker?

Хотя NetWalker еще не нацелен на отдельных конечных пользователей, он может использовать вас в качестве шлюза для проникновения в сети вашей организации с помощью фишинговых писем, вредоносных файлов или зараженных поддельных приложений.

Программы-вымогатели - это страшная вещь, но вы можете защитить себя, приняв разумные меры предосторожности, проявив бдительность и

7 способов избежать заражения программами-вымогателями

Программы-вымогатели могут буквально испортить вам жизнь. Достаточно ли вы делаете, чтобы не потерять свои личные данные и фотографии в результате цифрового вымогательства?

Об авторе