Tudo o que você precisa saber sobre o NetWalker Ransomware

Netwalker é uma variedade de ransomware voltada para sistemas baseados no Windows.

Descoberto pela primeira vez em agosto de 2019, ele evoluiu durante o restante de 2019 e até 2020. Picos significativos em ataques direcionados ao NetWalker foram observados pelo FBI durante o auge da pandemia de Covid-19.

Aqui está o que você precisa saber sobre o ransomware que atacou grandes escolas, sistemas de saúde e instituições governamentais nos Estados Unidos e na Europa.

O que é NetWalker Ransomware?

Anteriormente chamado de Mailto, o Netwalker é um tipo sofisticado de ransomware que torna todos os arquivos, aplicativos e bancos de dados críticos inacessíveis por meio de criptografia. O grupo por trás disso exige o pagamento de criptomoeda em troca de recuperação de dados e ameaça publicar os dados confidenciais da vítima em um "portal de vazamento" se os resgates não forem pagos.

O grupo é conhecido por lançar campanhas altamente direcionadas contra grandes organizações, principalmente usando phishing de e-mail enviado para pontos de entrada para se infiltrar em redes.

Amostras anteriores de e-mails envenenados usaram a pandemia de coronavírus como isca para fazer as vítimas clicarem em links maliciosos ou baixarem arquivos infectados. Depois que um computador é infectado, ele começa a se espalhar e compromete todos os dispositivos Windows conectados.

Além de se espalhar por meio de e-mails de spam, esse ransomware também pode se disfarçar como um aplicativo de gerenciamento de senha popular. Assim que os usuários executarem a versão falsa do aplicativo, seus arquivos serão criptografados.

Como Dharma, Sodinokibi e outros variantes nefastas de ransomware, Os operadores do NetWalker usam o modelo ransomware-as-a-service (RaaS).

7 tipos de ransomware que o surpreenderão

O ransomware sempre o pega de surpresa, mas esses novos tipos de ransomware o estão levando a um nível mais alto (e mais irritante).

O que é Ransomware-as-A-Service?

Ransomware-as-a-service é o desdobramento do cibercrime do popular modelo de negócios de software como serviço (SaaS) onde o software que é hospedado centralmente na infraestrutura em nuvem é vendido ou alugado para clientes em uma assinatura base.

Na venda de ransomware como um serviço, no entanto, o material vendido é malware projetado para lançar ataques nefastos. Em vez de clientes, os desenvolvedores desses ransomware procuram "afiliados" que devem facilitar a disseminação do ransomware.

Relacionado: O ransomware como serviço levará o caos para todos

Se o ataque for bem-sucedido, o dinheiro do resgate será dividido entre o desenvolvedor do ransomware e o afiliado que distribuiu o ransomware pré-construído. Essas afiliadas normalmente recebem cerca de 70 a 80% do dinheiro do resgate. É um modelo de negócio relativamente novo e lucrativo para grupos criminosos.

Como o NetWalker usa o modelo RaaS

O grupo NetWalker tem recrutado ativamente "afiliados" em fóruns da dark web, oferecendo as ferramentas e a infraestrutura aos cibercriminosos com experiência anterior em se infiltrar em grandes redes. De acordo com um relatório da McAfee, o grupo procura parceiros que falem russo e aqueles que já tenham um ponto de apoio na rede de uma vítima em potencial.

Eles priorizam a qualidade sobre a quantidade e têm vagas limitadas para parceiros. Eles param de recrutar depois de preenchidos e só anunciarão nos fóruns novamente quando uma vaga for aberta.

Como a nota de resgate do NetWalker evoluiu?

As versões anteriores da nota de resgate do NetWalker, assim como a maioria das outras notas de resgate, tinham uma seção "entre em contato" que usava serviços de conta de e-mail anônima. As vítimas entrariam em contato com o grupo e facilitariam o pagamento por meio dele.

A versão muito mais sofisticada que o grupo usa desde março de 2020 descartou o e-mail e o substituiu por um sistema que usa a interface do NetWalker Tor.

Os usuários são solicitados a baixar e instalar o navegador Tor e recebem um código pessoal. Após o envio da chave através do formulário online, a vítima será redirecionada para um chat messenger para falar com o "suporte técnico" do NetWalker.

Como você paga o NetWalker?

O sistema NetWalker é organizado de maneira muito semelhante às empresas a que se destina. Eles até emitem uma fatura detalhada que inclui o status da conta, ou seja, "aguardando pagamento", o valor que precisa ser liquidado e o tempo que resta para liquidar.

De acordo com relatos, as vítimas recebem uma semana para pagar, após a qual o preço da descriptografia dobra - ou dados confidenciais vazam como consequência do não pagamento antes do prazo. Assim que o pagamento for feito, a vítima é direcionada para uma página de download do programa de descriptografia.

O programa descriptografador parece ser único e é projetado para descriptografar apenas os arquivos do usuário específico que fez o pagamento. É por isso que cada vítima recebe uma chave exclusiva.

Vítimas importantes do NetWalker

A gangue por trás do NetWalker está ligada a uma série de ataques a diferentes organizações educacionais, governamentais e empresariais.

Entre suas vítimas de destaque estão a Michigan State University (MSU), o Columbia College of Chicago e a University of California San Francisco (UCSF). Este último aparentemente pagou um resgate de US $ 1,14 milhão em troca de uma ferramenta para desbloquear os dados criptografados.

Suas outras vítimas incluem a cidade de Weiz, na Áustria. Durante este ataque, o sistema de serviço público da cidade foi comprometido. Alguns de seus dados de inspeções de construção e aplicativos também vazaram.

As instituições de saúde não foram poupadas: a gangue teria como alvo o Distrito de Saúde Pública de Champaign Urbana (CHUPD) em Illinois, The College of Nurses of Ontario (CNO) no Canadá e o University Hospital Düsseldorf (UKD) em Alemanha.

Acredita-se que o ataque a este último tenha causado uma morte depois que o paciente foi forçado a ir para outro hospital quando os serviços de emergência em Düsseldorf foram afetados.

Como proteger seus dados contra ataques do NetWalker

Desconfie de e-mails e mensagens solicitando que você clique em links ou baixe arquivos. Em vez de clicar no link imediatamente, passe o mouse sobre ele para examinar todo o URL que deve aparecer na parte inferior do seu navegador. Não clique em nenhum link de e-mail até ter certeza de que é genuíno, o que pode significar entrar em contato com o remetente em um sistema separado para verificar.

Você também precisa evite baixar aplicativos falsos.

Certifique-se de ter instalado antivírus e antimalware confiáveis ​​que sejam atualizados regularmente. Muitas vezes, eles podem localizar links de phishing em emails. Instale patches de software imediatamente, pois eles são projetados para corrigir vulnerabilidades que os cibercriminosos exploram com frequência.

Você também precisa proteger os pontos de acesso de sua rede com senhas fortes e usar vários fatores autenticação (MFA) para proteger o acesso à rede, outros computadores e serviços em seu organização. Fazer backups regulares também é uma boa ideia.

Você deve se preocupar com o NetWalker?

Embora ainda não tenha como alvo usuários finais individuais, o NetWalker pode usá-lo como um gateway para se infiltrar nas redes de sua organização por meio de e-mails de phishing e arquivos maliciosos ou aplicativos falsos infectados.

Ransomware é uma coisa assustadora, mas você pode se proteger tomando precauções sensatas, permanecendo vigilante e

7 maneiras de evitar ser atingido por ransomware

O ransomware pode literalmente arruinar sua vida. Você está fazendo o suficiente para evitar a perda de seus dados pessoais e fotos por extorsão digital?

Sobre o autor