Alles wat u moet weten over NetWalker Ransomware

Netwalker is een soort ransomware die zich richt op Windows-systemen.

Het werd voor het eerst ontdekt in augustus 2019 en evolueerde gedurende de rest van 2019 tot 2020. Significante pieken in de gerichte aanvallen van NetWalker werden opgemerkt door de FBI tijdens het hoogtepunt van de Covid-19-pandemie.

Dit is wat u moet weten over de ransomware die grote scholen, gezondheidszorgsystemen en overheidsinstellingen in de VS en Europa heeft aangevallen.

Wat is NetWalker Ransomware?

Netwalker, voorheen Mailto genaamd, is een geavanceerd type ransomware dat alle kritieke bestanden, applicaties en databases ontoegankelijk maakt door middel van versleuteling. De groep erachter eist betaling van cryptocurrency in ruil voor gegevensherstel en dreigt de gevoelige gegevens van het slachtoffer te publiceren in een 'lekportaal' als het losgeld niet wordt betaald.

Het is bekend dat de groep zeer gerichte campagnes lanceert tegen grote organisaties, voornamelijk met behulp van e-mailphishing die naar toegangspunten wordt gestuurd om netwerken te infiltreren.

Eerdere voorbeelden van vergiftigde e-mails gebruikten de pandemie van het coronavirus als een lokmiddel om slachtoffers op kwaadaardige links te laten klikken of geïnfecteerde bestanden te downloaden. Zodra een computer is geïnfecteerd, begint deze zich te verspreiden en worden alle aangesloten Windows-apparaten aangetast.

Afgezien van verspreiding via spam-e-mails, kan deze ransomware zichzelf ook vermommen als een populaire app voor wachtwoordbeheer. Zodra gebruikers de nepversie van de app gebruiken, worden hun bestanden versleuteld.

Zoals Dharma, Sodinokibi en andere snode ransomwarevariantenGebruiken NetWalker-operators het ransomware-as-a-service (RaaS) -model.

7 soorten ransomware die u zullen verrassen

Ransomware verrast je altijd, maar deze nieuwe soorten ransomware brengen het naar een hoger (en vervelender) niveau.

Wat is Ransomware-As-A-Service?

Ransomware-as-a-service is de uitloper van cybercriminaliteit van het populaire software-as-a-service (SaaS) -bedrijfsmodel waar software die centraal wordt gehost op een cloudinfrastructuur, wordt verkocht of verhuurd aan klanten met een abonnement basis.

Bij het verkopen van ransomware als een service is het verkochte materiaal echter malware die is ontworpen om snode aanvallen uit te voeren. In plaats van klanten zoeken de ontwikkelaars van deze ransomware naar ‘affiliates’ waarvan wordt verwacht dat ze de verspreiding van de ransomware vergemakkelijken.

Verwant: Ransomware-as-a-Service zorgt voor chaos bij iedereen

Als de aanval succesvol is, wordt het losgeld verdeeld tussen de ontwikkelaar van de ransomware en de partner die de vooraf gebouwde ransomware heeft verspreid. Deze filialen krijgen normaal gesproken ongeveer 70 tot 80 procent van het losgeld. Het is een relatief nieuw en lucratief bedrijfsmodel voor criminele groepen.

Hoe NetWalker het RaaS-model gebruikt

De NetWalker-groep heeft actief "affiliates" geworven op darkweb-forums en biedt de tools en infrastructuur aan cybercriminelen die eerdere ervaring hebben met het infiltreren van grote netwerken. Volgens een verslag doen van door McAfee zoekt de groep partners die Russisch spreken en die al voet aan de grond hebben in het netwerk van een potentieel slachtoffer.

Ze geven voorrang aan kwaliteit boven kwantiteit en hebben slechts beperkte slots voor partners. Ze stoppen met werven zodra deze zijn gevuld en zullen pas weer adverteren via de forums als er een slot vrijkomt.

Hoe evolueerde de NetWalker-losgeldnota?

Eerdere versies van de NetWalker-losgeldbrief hadden, net als de meeste andere losgeldnota's, een "contact" -sectie die anonieme e-mailaccountservices gebruikte. Slachtoffers zouden dan contact opnemen met de groep en daarmee de betaling faciliteren.

De veel geavanceerdere versie die de groep sinds maart 2020 gebruikt, heeft de e-mail gedumpt en vervangen door een systeem dat de NetWalker Tor-interface gebruikt.

Gebruikers worden gevraagd om de Tor Browser te downloaden en te installeren en krijgen een persoonlijke code. Na het indienen van hun sleutel via het online formulier, wordt het slachtoffer doorgestuurd naar een chat-messenger om te praten met de "technische ondersteuning" van NetWalker.

Hoe betaal je NetWalker?

Het NetWalker-systeem is net zo georganiseerd als de bedrijven waarop ze zich richten. Ze geven zelfs een gedetailleerde factuur uit met de status van de rekening, d.w.z. "wacht op betaling", het bedrag dat moet worden betaald en de tijd die ze nog hebben om te betalen.

Volgens rapporten krijgen slachtoffers een week de tijd om te betalen, waarna de prijs voor decodering verdubbelt - of gevoelige gegevens worden gelekt als gevolg van niet-betaling voor de deadline. Zodra de betaling is uitgevoerd, wordt het slachtoffer doorverwezen naar een downloadpagina voor het decoderingsprogramma.

Het decoderingsprogramma lijkt uniek te zijn en is ontworpen om alleen de bestanden te decoderen van de specifieke gebruiker die de betaling heeft uitgevoerd. Daarom krijgt elk slachtoffer een unieke sleutel.

Spraakmakende NetWalker-slachtoffers

De bende achter NetWalker is in verband gebracht met een golf van aanvallen op verschillende onderwijs-, overheids- en bedrijfsorganisaties.

Tot de spraakmakende slachtoffers behoren Michigan State University (MSU), Columbia College of Chicago en University of California San Francisco (UCSF). De laatste betaalde blijkbaar $ 1,14 miljoen aan losgeld in ruil voor een tool om de gecodeerde gegevens te ontgrendelen.

Tot de andere slachtoffers behoren de stad Weiz in Oostenrijk. Tijdens deze aanval werd het openbare dienstenstelsel van de stad gecompromitteerd. Sommige van hun gegevens van gebouwinspecties en applicaties zijn ook gelekt.

Gezondheidsinstellingen zijn niet gespaard gebleven: de bende richtte zich naar verluidt op het Champaign Urbana Public Health District (CHUPD) in Illinois, The College of Nurses of Ontario (CNO) in Canada, en het University Hospital Düsseldorf (UKD) in Duitsland.

Aangenomen wordt dat de aanval op de laatste één sterfgeval heeft veroorzaakt nadat de patiënt gedwongen was naar een ander ziekenhuis te gaan toen de hulpdiensten in Düsseldorf werden getroffen.

Hoe u uw gegevens kunt beschermen tegen NetWalker-aanvallen

Pas op voor e-mails en berichten waarin u wordt gevraagd op links te klikken of bestanden te downloaden. In plaats van meteen op de link te klikken, kunt u de muisaanwijzer erop plaatsen om de volledige URL te bekijken die onder in uw browser zou moeten verschijnen. Klik niet op e-maillinks voordat u zeker weet dat het echt is, wat kan betekenen dat u contact moet opnemen met de afzender op een apart systeem om dit te controleren.

U moet ook vermijd het downloaden van nep-apps.

Zorg ervoor dat u een betrouwbare antivirus en antimalware heeft geïnstalleerd die regelmatig wordt bijgewerkt. Deze kunnen vaak phishing-links in e-mails herkennen. Installeer direct softwarepatches, aangezien deze zijn ontworpen om kwetsbaarheden te verhelpen die cybercriminelen vaak uitbuiten.

U moet ook de toegangspunten van uw netwerk beschermen met sterke wachtwoorden en multi-factor gebruiken authenticatie (MFA) om de toegang tot het netwerk, andere computers en services in uw organisatie. Regelmatig een back-up maken is ook een goed idee.

Moet u zich zorgen maken over NetWalker?

Hoewel het nog niet is gericht op individuele eindgebruikers, kan NetWalker u gebruiken als een gateway om de netwerken van uw organisatie te infiltreren via phishing-e-mails en kwaadaardige bestanden of geïnfecteerde nep-apps.

Ransomware is eng, maar u kunt uzelf beschermen door verstandige voorzorgsmaatregelen te nemen, waakzaam te blijven en

7 manieren om te voorkomen dat u wordt getroffen door ransomware

Ransomware kan uw leven letterlijk verpesten. Doet u genoeg om te voorkomen dat uw persoonlijke gegevens en foto's verloren gaan door digitale afpersing?

Over de auteur