Netwalker é uma variedade de ransomware voltada para sistemas baseados no Windows.
Descoberto pela primeira vez em agosto de 2019, ele evoluiu durante o resto de 2019 e até 2020. Picos significativos em ataques direcionados ao NetWalker foram observados pelo FBI durante o auge da pandemia Covid-19.
Aqui está o que você precisa saber sobre o ransomware que atacou grandes escolas, sistemas de saúde e instituições governamentais nos Estados Unidos e na Europa.
O que é NetWalker Ransomware?
Anteriormente chamado de Mailto, o Netwalker é um tipo sofisticado de ransomware que torna todos os arquivos, aplicativos e bancos de dados críticos inacessíveis por meio de criptografia. O grupo por trás disso exige o pagamento de criptomoeda em troca de recuperação de dados e ameaça publicar os dados confidenciais da vítima em um “portal de vazamento” se os resgates não forem pagos.
O grupo é conhecido por lançar campanhas altamente direcionadas contra grandes organizações, principalmente usando phishing de e-mail enviado para pontos de entrada para se infiltrar em redes.
https://twitter.com/YongruiTan/status/1327057340403773440?ref_src=twsrc%5Etfw
Amostras anteriores de e-mails envenenados usaram a pandemia do coronavírus como isca para fazer as vítimas clicarem em links maliciosos ou baixarem arquivos infectados. Depois que um computador é infectado, ele começa a se espalhar e compromete todos os dispositivos Windows conectados.
Além de se espalhar por meio de e-mails de spam, esse ransomware também pode se disfarçar como um aplicativo de gerenciamento de senha popular. Assim que os usuários executarem a versão falsa do aplicativo, seus arquivos serão criptografados.
Como Dharma, Sodinokibi e outras variantes nefastas de ransomware, os operadores do NetWalker usam o modelo ransomware-as-a-service (RaaS).
O que é Ransomware-as-A-Service?
Ransomware-as-a-service é o desdobramento do cibercrime do popular modelo de negócios de software como serviço (SaaS), em que o software hospedado centralmente na infraestrutura em nuvem é vendido ou alugado aos clientes por assinatura.
Na venda de ransomware como um serviço, entretanto, o material vendido é malware projetado para lançar ataques nefastos. Em vez de clientes, os desenvolvedores desses ransomware procuram “afiliados” que devem facilitar a disseminação do ransomware.
Se o ataque for bem-sucedido, o dinheiro do resgate será dividido entre o desenvolvedor do ransomware e o afiliado que distribuiu o ransomware pré-construído. Essas afiliadas normalmente obtêm cerca de 70 a 80% do dinheiro do resgate. É um modelo de negócio relativamente novo e lucrativo para grupos criminosos.
Como o NetWalker usa o modelo RaaS
O grupo NetWalker tem recrutado ativamente “afiliados” em fóruns da dark web, oferecendo as ferramentas e a infraestrutura aos cibercriminosos com experiência anterior em se infiltrar em grandes redes. De acordo com um relatório da McAfee, o grupo busca parceiros que falem russo e aqueles que já tenham um ponto de apoio na rede de uma vítima em potencial.
Eles priorizam a qualidade sobre a quantidade e têm vagas limitadas para parceiros. Eles param de recrutar depois de preenchidos e só anunciarão nos fóruns novamente quando uma vaga for aberta.
Como o NetWalker Ransom Note evoluiu?
As versões anteriores da nota de resgate do NetWalker, assim como a maioria das outras notas de resgate, tinham uma seção “entre em contato” que usava serviços de conta de e-mail anônima. As vítimas entrariam em contato com o grupo e facilitariam o pagamento por meio dele.
A versão muito mais sofisticada que o grupo usa desde março de 2020 descartou o e-mail e o substituiu por um sistema usando a interface do NetWalker Tor.
Os usuários são solicitados a baixar e instalar o navegador Tor e recebem um código pessoal. Após o envio da chave através do formulário online, a vítima será redirecionada para um chat messenger para falar com o “suporte técnico” do NetWalker.
Como você paga o NetWalker?
O sistema NetWalker é organizado de maneira muito semelhante às empresas a que se destina. Eles até emitem uma fatura detalhada que inclui o status da conta, ou seja, “aguardando pagamento”, o valor que precisa ser liquidado e o tempo restante para liquidar.
De acordo com relatos, as vítimas recebem uma semana para pagar, após a qual o preço da descriptografia dobra – ou dados confidenciais vazam como consequência do não pagamento antes do prazo. Assim que o pagamento for feito, a vítima é direcionada para uma página de download do programa de descriptografia.
O programa descriptografador parece ser único e foi projetado para descriptografar apenas os arquivos do usuário específico que fez o pagamento. É por isso que cada vítima recebe uma chave exclusiva.
Vítimas importantes do NetWalker
A gangue por trás do NetWalker está ligada a uma série de ataques a diferentes organizações educacionais, governamentais e empresariais.
Entre suas vítimas de destaque estão a Michigan State University (MSU), o Columbia College de Chicago e a University of California San Francisco (UCSF). O último aparentemente pagou um resgate de $ 1,14 milhão em troca de uma ferramenta para desbloquear os dados criptografados.
Suas outras vítimas incluem a cidade de Weiz, na Áustria. Durante este ataque, o sistema de serviço público da cidade foi comprometido. Alguns de seus dados de inspeções de construção e aplicativos também vazaram.
As instituições de saúde não foram poupadas: a gangue supostamente visou o Distrito de Saúde Pública de Champaign Urbana (CHUPD) em Illinois, o Colégio de Enfermeiras de Ontário (CNO) no Canadá e o Hospital Universitário de Düsseldorf (UKD) na Alemanha.
Acredita-se que o ataque a este último tenha causado uma morte depois que o paciente foi forçado a ir para um hospital diferente quando os serviços de emergência em Düsseldorf foram afetados.
Como proteger seus dados contra ataques do NetWalker
Desconfie de e-mails e mensagens solicitando que você clique em links ou baixe arquivos. Em vez de clicar no link imediatamente, passe o mouse sobre ele para examinar todo o URL que deve aparecer na parte inferior do seu navegador. Não clique em nenhum link de e-mail até ter certeza de que é genuíno, o que pode significar entrar em contato com o remetente em um sistema separado para verificar.
Você também precisa evitar o download de aplicativos falsos.
Certifique-se de ter um antivírus e antimalware confiáveis instalados e atualizados regularmente. Muitas vezes, eles podem localizar links de phishing em e-mails. Instale patches de software imediatamente, pois eles são projetados para corrigir as vulnerabilidades que os cibercriminosos exploram com frequência.
Você também precisa proteger os pontos de acesso de sua rede com senhas fortes e usar autenticação multifator (MFA) para proteger o acesso à rede, outros computadores e serviços em sua organização. Fazer backups regulares também é uma boa ideia.
Você deve se preocupar com o NetWalker?
Embora ainda não tenha como alvo usuários finais individuais, o NetWalker pode usá-lo como um gateway para se infiltrar nas redes de sua organização por meio de e-mails de phishing e arquivos maliciosos ou aplicativos falsos infectados.
Ransomware é uma coisa assustadora, mas você pode se proteger tomando precauções sensatas, permanecendo vigilante.