Kaikki mitä sinun tarvitsee tietää NetWalker Ransomware

Netwalker on lunnasohjelma, joka kohdistuu Windows-pohjaisiin järjestelmiin.

Ensimmäinen löydetty elokuussa 2019, se kehittyi koko loppuvuoden 2019 ja vuoteen 2020. FBI havaitsi merkittäviä piikkejä NetWalkeriin kohdistetuissa hyökkäyksissä Covid-19-pandemian korkeudessa.

Tässä sinun on tiedettävä lunnasohjelmasta, joka on hyökännyt suuriin kouluihin, terveydenhuoltojärjestelmiin ja valtion laitoksiin kaikkialla Yhdysvalloissa ja Euroopassa.

Mikä on NetWalker Ransomware?

Aikaisemmin Mailtona kutsuttu Netwalker on edistyksellinen lunnasohjelmatyyppi, joka tekee kaikista kriittisistä tiedostoista, sovelluksista ja tietokannoista käyttämättömät salauksen avulla. Ryhmä sen takana vaatii salausmaksun tietojen palauttamiseksi ja uhkaa julkaista uhrin arkaluontoiset tiedot "vuotoportaalissa", jos lunnaita ei makseta.

Ryhmän tiedetään käynnistävän kohdennettuja kampanjoita suuria organisaatioita vastaan, pääasiassa käyttämällä sähköpostin tietojenkalastelua, joka lähetetään pääsypisteisiin tunkeutumaan verkkoihin.

Aikaisemmissa myrkytettyjen sähköpostien näytteissä koronaviruspandemia käytettiin houkutuksena saamaan uhrit napsauttamaan haitallisia linkkejä tai lataamaan tartunnan saaneita tiedostoja. Kun tietokone on saanut tartunnan, se alkaa levitä ja vaarantaa kaikki liitetyt Windows-laitteet.

Sen lisäksi, että tämä ransomware leviää roskapostiviestien kautta, se voi myös peittää itsensä suosituksi salasananhallintasovellukseksi. Heti kun käyttäjät suorittavat sovelluksen väärän version, heidän tiedostonsa salataan.

Kuten Dharma, Sodinokibi ja muut ilkeät lunnasohjelmaversiot, NetWalker-operaattorit käyttävät ransomware-as-a-service (RaaS) -mallia.

7 tyyppistä ransomware-ohjelmaa, jotka vievät sinut yllätykseksi

Ransomware vie sinut aina yllätykseksi, mutta nämä uudentyyppiset ransomware vievät sen korkeammalle (ja ärsyttävämmälle) tasolle.

Mikä on Ransomware-As-A-Service?

Ransomware-as-a-service on suositun SaaS-liiketoimintamallin tietoverkkorikollisuuden osa. missä keskitetysti pilvi-infrastruktuurissa isännöityjä ohjelmistoja myydään tai vuokrataan asiakkaille tilauksesta perusta.

Lunnasohjelmien myynnissä palveluna myydään kuitenkin haittaohjelmia, jotka on suunniteltu käynnistämään ilkeät hyökkäykset. Asiakkaiden sijaan näiden lunnasohjelmien kehittäjät etsivät "tytäryhtiöitä", joiden odotetaan helpottavan lunnasohjelman leviämistä.

Liittyvät: Ransomware-as-a-Service tuo kaaosta kaikille

Jos hyökkäys onnistuu, lunnaiden rahat jaetaan lunnasohjelman kehittäjän ja etukäteen rakennetun lunnasohjelman jakaneen tytäryhtiön kesken. Nämä tytäryhtiöt saavat yleensä noin 70-80 prosenttia lunnaarahasta. Se on suhteellisen uusi ja tuottoisa liiketoimintamalli rikollisryhmille.

Kuinka NetWalker käyttää RaaS-mallia

NetWalker-ryhmä on rekrytoinut aktiivisesti "tytäryhtiöitä" pimeissä verkkofoorumeissa tarjoamalla työkaluja ja infrastruktuuria verkkorikollisille, joilla on aikaisempaa kokemusta tunkeutua suuriin verkkoihin. Mukaan a raportti McAfeen mukaan ryhmä etsii kumppaneita, jotka puhuvat venäjää, ja kumppaneita, joilla on jo jalansija potentiaalisen uhrin verkostossa.

He asettavat etusijalle laadun määrän sijaan, ja niillä on vain rajalliset lähtöajat kumppaneille. He lopettavat rekrytoinnin, kun nämä on täytetty, ja ilmoittaudutaan foorumeiden kautta vasta, kun kolikkopeli avautuu.

Kuinka NetWalker Ransom Note kehittyi?

NetWalker-lunnaatunnistimen aiemmissa versioissa, aivan kuten useimmissa muissakin lunnaat-seteleissä, oli "ota yhteyttä" -osio, joka käytti nimettömiä sähköpostitilipalveluja. Uhrit ottavat sitten yhteyttä ryhmään ja helpottavat maksua tämän kautta.

Paljon kehittyneempi versio, jota ryhmä on käyttänyt maaliskuusta 2020 lähtien, ojensi sähköpostin ja korvasi sen NetWalker Tor -käyttöliittymää käyttävällä järjestelmällä.

Käyttäjiä pyydetään lataamaan ja asentamaan Tor-selain ja heille annetaan henkilökohtainen koodi. Lähetettyään avaimensa verkkolomakkeen kautta uhri ohjataan chat-messengeriin keskustelemaan NetWalkerin "teknisen tuen" kanssa.

Kuinka maksat NetWalkerille?

NetWalker-järjestelmä on organisoitu samalla tavalla kuin yritykset, joihin he kohdentavat. He jopa laativat yksityiskohtaisen laskun, joka sisältää tilin tilan eli "odottaa maksua", maksettavan määrän ja ajan, jonka heillä on jäljellä maksamiseen.

Raporttien mukaan uhreille annetaan yksi viikko maksaa, minkä jälkeen salauksen purkamisen hinta kaksinkertaistuu - tai arkaluonteisia tietoja vuotaa seurauksena siitä, että maksua ei suoritettu ennen määräaikaa. Kun maksu on suoritettu, uhri ohjataan salauksen purkuohjelman lataussivulle.

Salauksen purkuohjelma näyttää olevan ainutlaatuinen, ja se on suunniteltu purkamaan vain maksun suorittaneen käyttäjän tiedostot. Siksi jokaiselle uhrille annetaan yksilöllinen avain.

Korkean profiilin NetWalker-uhrit

NetWalkerin takana oleva jengi on yhdistetty hyökkäyksiin eri koulutus-, hallitus- ja liike-elämän organisaatioita vastaan.

Sen korkean profiilin uhreja ovat Michigan State University (MSU), Columbia College of Chicago ja Kalifornian yliopisto San Francisco (UCSF). Jälkimmäinen maksoi ilmeisesti 1,14 miljoonan dollarin lunnaita vastineeksi työkalusta salattujen tietojen avaamiseksi.

Sen muihin uhreihin kuuluu Weizin kaupunki Itävallassa. Tämän hyökkäyksen aikana kaupungin julkisen palvelun järjestelmä vaarantui. Osa heidän rakennustarkastusten ja sovellusten tiedoista vuotaa myös.

Terveyslaitoksia ei ole säästetty: jengi ilmoitti kohdistaneensa Champaign Urbanan kansanterveysaluetta (CHUPD) Illinoisissa, Ontarion sairaanhoitajakoulu (CNO) Kanadassa ja Düsseldorfin yliopistosairaala (UKD) Saksa.

Viimeksi mainitun hyökkäyksen uskotaan aiheuttaneen yhden kuoleman, kun potilas pakotettiin menemään toiseen sairaalaan, kun Dusseldorfin hätäpalvelut kärsivät.

Tietojesi suojaaminen NetWalker-hyökkäyksiltä

Varo sähköposteja ja viestejä, joissa sinua pyydetään napsauttamaan linkkejä tai lataamaan tiedostoja. Sen sijaan, että napsautat linkkiä heti, vie hiiri sen päälle ja tutki koko URL-osoitetta, jonka pitäisi näkyä selaimesi alaosassa. Älä napsauta mitään sähköpostilinkkejä, ennen kuin olet varmasti varma, että se on aito, mikä voi tarkoittaa, että otat yhteyttä lähettäjään erillisen järjestelmän tarkistamiseksi.

Sinun täytyy myös vältä väärennettyjen sovellusten lataamista.

Varmista, että sinulla on asennettuna luotettava virustentorjunta- ja haittaohjelmien torjuntaohjelmisto, jota päivitetään säännöllisesti. Nämä voivat usein havaita tietojenkalastelulinkkejä sähköpostissa. Asenna ohjelmistopaketit heti, koska ne on suunniteltu korjaamaan tietoverkkorikollisten usein käyttämät haavoittuvuudet.

Sinun on myös suojattava verkon tukiasemia vahvoilla salasanoilla ja käytettävä monitekijöitä todennus (MFA) suojaamaan pääsyä verkkoon, muihin tietokoneisiin ja palveluihisi organisaatio. Säännöllisten varmuuskopioiden tekeminen on myös hyvä idea.

Pitäisikö sinun olla huolissasi NetWalkerista?

Vaikka NetWalker ei ole vielä kohdistettu yksittäisille loppukäyttäjille, NetWalker voi käyttää sinua porttina tunkeutumaan organisaatiosi verkkoihin verkkourkintasähköpostien, haitallisten tiedostojen tai tartunnan saaneiden väärennettyjen sovellusten kautta.

Ransomware on pelottava asia, mutta voit suojata itsesi toteuttamalla järkeviä varotoimia, pysymällä valppaana ja

7 tapaa välttää Ransomware

Ransomware voi kirjaimellisesti pilata elämäsi. Teetkö tarpeeksi välttääksesi henkilötietojesi ja valokuviesi menettämisen digitaalisen kiristämisen vuoksi?

Kirjailijasta