Allt du behöver veta om NetWalker Ransomware

Netwalker är en stam av ransomware som riktar sig till Windows-baserade system.

Först upptäcktes i augusti 2019, det utvecklades under resten av 2019 och till 2020. Betydande spikar i NetWalker-riktade attacker noterades av FBI under höjden av Covid-19-pandemin.

Här är vad du behöver veta om ransomware som har attackerat stora skolor, sjukvårdssystem och statliga institutioner i hela USA och Europa.

Vad är NetWalker Ransomware?

Tidigare kallad Mailto är Netwalker en sofistikerad typ av ransomware som gör alla kritiska filer, applikationer och databaser otillgängliga genom kryptering. Gruppen bakom det kräver utbetalning av kryptovaluta i utbyte mot dataåterställning och hotar att publicera offrets känsliga data i en "läcka portal" om lösen inte betalas.

Gruppen är känd för att starta mycket riktade kampanjer mot stora organisationer, främst med phishing via e-post som skickas till ingångspunkter för att infiltrera nätverk.

Tidigare prover av förgiftade e-postmeddelanden använde coronaviruspandemin som lockbete för att få offren att klicka på skadliga länkar eller ladda ner infekterade filer. När en dator har smittats börjar den spridas och äventyra alla anslutna Windows-enheter.

Bortsett från att spridas via skräppostmeddelanden, kan denna ransomware också dölja sig som en populär app för lösenordshantering. Så snart användare kör den falska versionen av appen krypteras deras filer.

Som Dharma, Sodinokibi och annat onda ransomware-varianter, Använder NetWalker-operatörer ransomware-as-a-service (RaaS) -modellen.

7 typer av Ransomware som kommer att överraska dig

Ransomware överraskar dig alltid, men dessa nya typer av ransomware tar det till en högre (och mer irriterande) nivå.

Vad är Ransomware-As-A-Service?

Ransomware-as-a-service är cyberbrottsutgången för den populära SaaS-affärsmodellen (software-as-a-service) där programvara som är centralt värd för molninfrastruktur säljs eller hyrs ut till kunder i abonnemang grund.

När det gäller att sälja ransomware som en tjänst är det sålda materialet dock skadlig programvara som är utformad för att starta onödiga attacker. I stället för kunder söker utvecklarna av dessa ransomware "affiliates" som förväntas underlätta spridningen av ransomware.

Relaterad: Ransomware-as-a-Service kommer att ge kaos för alla

Om attacken lyckas, delas lösenpengarna mellan utvecklaren av ransomware och den dotterbolag som distribuerade den förbyggda ransomware. Dessa dotterbolag får normalt cirka 70 till 80 procent av lösenpengarna. Det är en relativt ny och lukrativ affärsmodell för kriminella grupper.

Hur NetWalker använder RaaS-modellen

NetWalker-gruppen har aktivt rekryterat "medlemsförbund" på mörka webbforum och har erbjudit verktyg och infrastruktur till cyberbrottslingar som har tidigare erfarenhet av att infiltrera stora nätverk. Enligt en Rapportera av McAfee söker gruppen partners som är ryskspråkiga och de som redan har fotfäste i ett potentiellt offrets nätverk.

De prioriterar kvalitet framför kvantitet och har endast begränsade platser för partners. De slutar rekrytera när dessa har fyllts och kommer bara att annonsera via forumen igen när en plats öppnas.

Hur utvecklades NetWalker Ransom Note?

Tidigare versioner av NetWalker-lösensedeln, precis som de flesta andra lösensedeln, hade avsnittet "kontakta oss" som använde anonyma e-postkontotjänster. Offren skulle sedan kontakta gruppen och underlätta betalningen genom detta.

Den mycket mer sofistikerade versionen som gruppen har använt sedan mars 2020 drog e-postmeddelandet och ersatte det med ett system med NetWalker Tor-gränssnittet.

Användarna uppmanas att ladda ner och installera Tor Browser och får en personlig kod. Efter att ha skickat in sin nyckel via onlineformuläret, kommer offret att omdirigeras till en chattmeddelande för att prata med NetWalker "teknisk support".

Hur betalar du NetWalker?

NetWalker-systemet är organiserat ungefär som de företag de riktar sig till. De utfärdar till och med en detaljerad faktura som inkluderar status för kontot, dvs. "väntar på betalning", det belopp som behöver avräknas och tiden de har kvar för att avveckla.

Enligt rapporterna får offren en vecka att betala, varefter priset för dekryptering fördubblas - eller känsliga uppgifter läcks ut som en följd av att betalningen inte betalats före tidsfristen. När betalningen har gjorts dirigeras offret till en nedladdningssida för dekrypteringsprogrammet.

Avkrypteringsprogrammet verkar vara unikt och är utformat för att endast dekryptera filerna för den specifika användare som gjorde betalningen. Det är därför varje offer får en unik nyckel.

Högprofilerade NetWalker-offer

Gänget bakom NetWalker har kopplats till en mängd attacker mot olika utbildnings-, regerings- och affärsorganisationer.

Bland dess högt profilerade offer är Michigan State University (MSU), Columbia College of Chicago och University of California San Francisco (UCSF). Den senare betalade uppenbarligen en lösen på 1,14 miljoner dollar i utbyte mot ett verktyg för att låsa upp krypterad data.

Dess andra offer inkluderar staden Weiz i Österrike. Under denna attack komprometterades stadens allmännyttiga system. En del av deras data från byggnadsinspektioner och applikationer läckte också ut.

Hälsoinstitutioner har inte sparats: gänget riktade sig enligt uppgift Champaign Urbana Public Health District (CHUPD) i Illinois, College of Nurses of Ontario (CNO) i Kanada och University Hospital Düsseldorf (UKD) i Tyskland.

Attacken mot den senare antas ha orsakat en död efter att patienten tvingades åka till ett annat sjukhus när räddningstjänsten i Düsseldorf påverkades.

Hur du skyddar dina data från NetWalker-attacker

Var försiktig med e-postmeddelanden och meddelanden som ber dig att klicka på länkar eller ladda ner filer. I stället för att klicka på länken direkt, håll muspekaren över den för att undersöka hela webbadressen som ska visas längst ner i din webbläsare. Klicka inte på några e-postlänkar förrän du är säker på att den är äkta, vilket kan innebära att du kontaktar avsändaren på ett separat system för att kontrollera.

Du måste också undvik att ladda ner falska appar.

Se till att du har pålitligt antivirus- och antiprogram installerat som uppdateras regelbundet. Dessa kan ofta upptäcka nätfiskelänkar i e-postmeddelanden. Installera programvarupatcher omedelbart eftersom dessa är utformade för att åtgärda sårbarheter som cyberbrottslingar ofta utnyttjar.

Du måste också skydda ditt nätverks åtkomstpunkter med starka lösenord och använda flera faktorer autentisering (MFA) för att skydda åtkomst till nätverket, andra datorer och tjänster i din organisation. Att ta regelbundna säkerhetskopior är också en bra idé.

Ska du vara orolig för NetWalker?

Även om det inte riktar sig till enskilda slutanvändare ännu, kan NetWalker använda dig som en gateway för att infiltrera organisationens nätverk via phishing-e-post och skadliga filer eller infekterade falska appar.

Ransomware är en läskig sak, men du kan skydda dig själv genom att vidta förnuftiga försiktighetsåtgärder, hålla dig vaksam och

7 sätt att undvika att drabbas av Ransomware

Ransomware kan bokstavligen förstöra ditt liv. Gör du tillräckligt för att undvika att förlora dina personuppgifter och foton till digital utpressning?

Om författaren