Tutto ciò che devi sapere su NetWalker Ransomware

Netwalker è un ceppo di ransomware che prende di mira i sistemi basati su Windows.

Scoperto per la prima volta nell'agosto 2019, si è evoluto per tutto il resto del 2019 e nel 2020. Picchi significativi negli attacchi mirati di NetWalker sono stati notati dall'FBI durante l'apice della pandemia Covid-19.

Ecco cosa devi sapere sul ransomware che ha attaccato le principali scuole, sistemi sanitari e istituzioni governative negli Stati Uniti e in Europa.

Cos'è NetWalker Ransomware?

Precedentemente chiamato Mailto, Netwalker è un tipo sofisticato di ransomware che rende tutti i file, le applicazioni e i database critici inaccessibili tramite la crittografia. Il gruppo dietro richiede il pagamento in criptovaluta in cambio del recupero dei dati e minaccia di pubblicare i dati sensibili della vittima in un "portale di fuga" se i riscatti non vengono pagati.

Il gruppo è noto per lanciare campagne altamente mirate contro grandi organizzazioni, utilizzando principalmente il phishing e-mail inviato ai punti di ingresso per infiltrarsi nelle reti.

Precedenti campioni di e-mail avvelenate utilizzavano la pandemia di coronavirus come esca per indurre le vittime a fare clic su collegamenti dannosi o scaricare file infetti. Una volta che un computer è stato infettato, inizia a diffondersi e compromette tutti i dispositivi Windows collegati.

Oltre a diffondersi tramite e-mail di spam, questo ransomware può anche camuffarsi da popolare app per la gestione delle password. Non appena gli utenti eseguono la versione fasulla dell'app, i loro file verranno crittografati.

Come Dharma, Sodinokibi e altri varianti di ransomware nefaste, Gli operatori NetWalker utilizzano il modello RaaS (ransomware-as-a-service).

7 tipi di ransomware che ti sorprenderanno

Il ransomware ti coglie sempre di sorpresa, ma questi nuovi tipi di ransomware lo stanno portando a un livello più alto (e più fastidioso).

Che cos'è il ransomware-as-a-service?

Il ransomware-as-a-service è il ramo del crimine informatico del popolare modello di business SaaS (Software-as-a-Service) dove il software ospitato centralmente sull'infrastruttura cloud viene venduto o affittato ai clienti con un abbonamento base.

Nella vendita di ransomware come servizio, tuttavia, il materiale venduto è malware progettato per lanciare attacchi nefasti. Invece di clienti, gli sviluppatori di questi ransomware cercano "affiliati" che dovrebbero facilitare la diffusione del ransomware.

Relazionato: Il ransomware-as-a-Service porterà il caos a tutti

Se l'attacco ha successo, il riscatto viene suddiviso tra lo sviluppatore del ransomware e l'affiliato che ha distribuito il ransomware precostruito. Questi affiliati normalmente ottengono circa il 70-80 percento del riscatto. È un modello di business relativamente nuovo e redditizio per i gruppi criminali.

Come NetWalker utilizza il modello RaaS

Il gruppo NetWalker ha reclutato attivamente "affiliati" sui forum del dark web, offrendo gli strumenti e l'infrastruttura ai criminali informatici che hanno precedenti esperienze di infiltrazione in reti di grandi dimensioni. Secondo a rapporto da McAfee, il gruppo cerca partner di lingua russa e quelli che hanno già un punto d'appoggio nella rete di una potenziale vittima.

Danno la priorità alla qualità rispetto alla quantità e hanno solo spazi limitati per i partner. Smettono di reclutare una volta che questi sono stati riempiti e pubblicizzeranno nuovamente tramite i forum solo una volta che uno slot si apre.

Come si è evoluta la nota di riscatto NetWalker?

Le versioni precedenti della richiesta di riscatto NetWalker, proprio come la maggior parte delle altre note di riscatto, avevano una sezione "contattaci" che utilizzava servizi di account di posta elettronica anonimi. Le vittime avrebbero quindi contattato il gruppo e facilitato il pagamento attraverso questo.

La versione molto più sofisticata che il gruppo utilizza da marzo 2020 ha abbandonato l'e-mail e l'ha sostituita con un sistema che utilizza l'interfaccia NetWalker Tor.

Agli utenti viene chiesto di scaricare e installare Tor Browser e viene fornito un codice personale. Dopo aver inviato la chiave tramite il modulo online, la vittima verrà reindirizzata a un chat messenger per parlare con il "supporto tecnico" di NetWalker.

Come si paga NetWalker?

Il sistema NetWalker è organizzato in modo molto simile alle aziende a cui si rivolgono. Emettono persino una fattura dettagliata che include lo stato del conto, ad esempio "in attesa di pagamento", l'importo che deve essere saldato e il tempo che rimane per saldare.

Secondo i rapporti, alle vittime viene concessa una settimana per pagare, dopodiché il prezzo per la decrittazione raddoppia, oppure i dati sensibili vengono trapelati a causa del mancato pagamento prima della scadenza. Una volta effettuato il pagamento, la vittima viene indirizzata a una pagina di download per il programma decryptor.

Il programma decryptor sembra essere unico ed è progettato per decrittografare solo i file dell'utente specifico che ha effettuato il pagamento. Questo è il motivo per cui a ciascuna vittima viene assegnata una chiave univoca.

Vittime di NetWalker di alto profilo

La banda dietro NetWalker è stata collegata a una serie di attacchi a diverse organizzazioni educative, governative e imprenditoriali.

Tra le sue vittime di alto profilo ci sono la Michigan State University (MSU), il Columbia College di Chicago e l'Università della California di San Francisco (UCSF). Quest'ultimo apparentemente ha pagato un riscatto di 1,14 milioni di dollari in cambio di uno strumento per sbloccare i dati crittografati.

Le sue altre vittime includono la città di Weiz in Austria. Durante questo attacco, il sistema di servizio pubblico della città è stato compromesso. Alcuni dei loro dati dalle ispezioni e dalle applicazioni degli edifici sono stati trapelati.

Le istituzioni sanitarie non sono state risparmiate: la banda avrebbe preso di mira il distretto di sanità pubblica di Champaign Urbana (CHUPD) in Illinois, The College of Nurses of Ontario (CNO) in Canada e University Hospital Düsseldorf (UKD) in Germania.

Si ritiene che l'attacco a quest'ultimo abbia causato una morte dopo che il paziente è stato costretto a recarsi in un altro ospedale quando sono stati colpiti i servizi di emergenza a Dusseldorf.

Come proteggere i dati dagli attacchi NetWalker

Fai attenzione alle e-mail e ai messaggi che ti chiedono di fare clic sui collegamenti o di scaricare file. Invece di fare clic subito sul collegamento, passaci sopra con il mouse per esaminare l'intero URL che dovrebbe apparire nella parte inferiore del browser. Non fare clic su alcun collegamento e-mail fino a quando non sei assolutamente sicuro che sia autentico, il che potrebbe significare contattare il mittente su un sistema separato per verificare.

Anche tu devi evitare di scaricare app false.

Assicurati di avere installato un antivirus e un anti-malware affidabili che vengano aggiornati regolarmente. Questi possono spesso individuare collegamenti di phishing all'interno delle e-mail. Installa subito le patch software poiché sono progettate per correggere le vulnerabilità sfruttate di frequente dai criminali informatici.

È inoltre necessario proteggere i punti di accesso della rete con password complesse e utilizzare il multifattore autenticazione (MFA) per proteggere l'accesso alla rete, altri computer e servizi nel tuo file organizzazione. Anche l'assunzione di backup regolari è una buona idea.

Dovresti essere preoccupato per NetWalker?

Sebbene non si rivolga ancora a singoli utenti finali, NetWalker può utilizzarti come gateway per infiltrarti nelle reti della tua organizzazione tramite e-mail di phishing e file dannosi o app fasulle infette.

Il ransomware è una cosa spaventosa, ma puoi proteggerti prendendo precauzioni ragionevoli, rimanendo vigile e

7 modi per evitare di essere colpiti da ransomware

Il ransomware può letteralmente rovinarti la vita. Stai facendo abbastanza per evitare di perdere i tuoi dati personali e le tue foto a causa dell'estorsione digitale?

Circa l'autore