Todo lo que necesita saber sobre el ransomware NetWalker

Netwalker es una serie de ransomware que tiene como objetivo los sistemas basados ​​en Windows.

Se descubrió por primera vez en agosto de 2019 y ha evolucionado durante el resto de 2019 hasta 2020. El FBI notó picos significativos en los ataques dependientes de NetWalker durante el apogeo de la pandemia de Covid-19.

Esto es lo que necesita saber sobre el ransomware que ha atacado las principales escuelas, sistemas de salud e instituciones gubernamentales en los Estados Unidos y Europa.

Imagen de Todo lo que necesita saber sobre el ransomware NetWalker | 1qNa1n8ADbmhTeaAS7bZ_hA-DzTechs

¿Qué es NetWalker?

Anteriormente conocido como Mailto, Netwalker es un tipo sofisticado de ransomware que hace que todos los archivos, aplicaciones y bases de datos importantes sean inaccesibles al cifrarlos. La banda criminal detrás de esto exige criptomonedas para la recuperación de datos y amenaza con publicar los datos confidenciales de la víctima en una "puerta de fugas" si el rescate no se paga a tiempo.

Se sabe que la pandilla lanza campañas altamente dirigidas contra grandes organizaciones, utilizando correos electrónicos de phishing enviados a puntos de entrada para infiltrarse en las redes.

https://twitter.com/YongruiTan/status/1327057340403773440

Las muestras anteriores de los correos electrónicos de la pandemia de coronavirus se han utilizado como un señuelo para que las víctimas hagan clic en enlaces maliciosos o para que descarguen archivos infectados. Una vez que la computadora está infectada, comienza a propagarse e infectar todos los dispositivos Windows conectados.

Además de propagarse a través de correos electrónicos no deseados, este ransomware también puede hacerse pasar por una popular aplicación de administración de contraseñas. Una vez que el usuario ejecuta la versión ficticia de la aplicación, sus archivos se cifrarán.

Al igual que Dharma, Sodinokibi y otras variantes nefastas de ransomware, el iniciador de NetWalker utiliza un modelo de ransomware como servicio (RaaS).

¿Qué es el modelo RaaS?

El modelo Ransomware-as-a-Service (RaaS) es la rama de ciberdelincuencia del popular modelo comercial de software como servicio (SaaS) en el que el software alojado centralmente en la infraestructura de la nube se vende o alquila a los clientes por suscripción.

Cuando el ransomware se vende como un servicio, los artículos vendidos son malware diseñado para lanzar ataques nefastos. En lugar de clientes, estos desarrolladores de ransomware buscan "afiliados" que se espera que faciliten la propagación del ransomware.

Si el ataque tiene éxito, el dinero del rescate se dividirá entre el desarrollador del ransomware y la empresa afiliada que distribuyó el ransomware creado anteriormente. Estos afiliados suelen obtener entre el 70 y el 80 por ciento del dinero del rescate. Es un modelo de negocio relativamente nuevo y rentable para los grupos criminales.

Cómo utiliza NetWalker el modelo RaaS

El Grupo NetWalker está reclutando activamente "Afiliados" en Foros de la web oscura Proporciona herramientas e infraestructura para ciberdelincuentes con experiencia previa en la penetración de grandes redes. Según un informe de McAfee El grupo está buscando socios de habla rusa y aquellos que ya tienen un punto de apoyo en la red de una víctima potencial.

Prioriza la calidad sobre la cantidad y solo tiene espacios limitados para socios. También deja de reclutar tan pronto como se llenan los puestos disponibles y solo anunciará el reclutamiento nuevamente a través de los foros.

¿Cómo se desarrolló el ransomware Note NetWalker?

Las versiones anteriores de la nota de rescate de NetWalker, como la mayoría de las notas de rescate, tenían una sección "Contáctenos" que usaba los servicios de una cuenta de correo electrónico anónima. Luego la víctima se pone en contacto con el grupo y a través de este se facilita el pago.

La versión más sofisticada que el grupo ha estado usando desde marzo de 2020 eliminó el correo electrónico y lo reemplazó con un sistema que usa la interfaz NetWalker Tor.

Se solicita al usuario que descargue e instale el navegador Tor y se le proporciona un código personal. Después de enviar el código personalizado a través del formulario en línea, la víctima será redirigida a una aplicación de chat para hablar con el Soporte técnico de NetWalker.

¿Cómo se paga NetWalker?

El sistema NetWalker está organizado de la misma manera que las empresas a las que se dirige. Incluso se emite una factura detallada que incluye el estado de la cuenta, es decir, 'Pago en espera', el monto a liquidar y el tiempo restante para liquidar.

Imagen de Todo lo que necesita saber sobre el ransomware NetWalker | 13M4YfE0OR6Q4KAKOAd9-sQ-DzTechs

Según los informes, a la víctima se le da una semana para pagar, luego de lo cual el precio del descifrado se duplica, o se filtran datos confidenciales como resultado de no pagar antes de la fecha límite. Una vez que se realiza el pago, se dirige a la víctima a la página de descarga de la aplicación de descifrado.

La aplicación de descifrado parece ser única y está diseñada para descifrar solo los archivos del usuario específico que realizó el pago. Es por eso que a cada víctima se le da una clave única.

Víctimas notables de NetWalker

La pandilla detrás de NetWalker ha sido vinculada a una serie de ataques contra varias instituciones educativas, gubernamentales y comerciales.

Sus víctimas notables incluyen la Universidad Estatal de Michigan (MSU), el Colegio de Columbia en Chicago y la Universidad de California en San Francisco (UCSF). Parece que la UCSF pagó un rescate de 1.14 millones de dólares por la aplicación de desbloqueo de datos cifrados.

Entre sus otras víctimas se encuentra la ciudad de Wiese en Austria. Durante este ataque, el sistema de servicios públicos de la ciudad se vio comprometido. También se filtraron algunos datos de inspecciones de edificios y aplicaciones.

Las instituciones de salud no fueron excluidas: según los informes, la pandilla atacó el Distrito de Salud Pública de Champaign-Urbana (CHUPD) en Illinois, el Colegio de Enfermeras de Ontario (CNO) en Canadá y el Hospital Universitario de Dusseldorf (UKD) en Alemania.

Se cree que el ataque a este último causó la muerte de una persona después de que el paciente se viera obligado a ir a otro hospital cuando los servicios de emergencia en Dusseldorf se vieron afectados.

Cómo proteger sus datos de los ataques de NetWalker

Tenga cuidado con los correos electrónicos y mensajes que le piden que haga clic en enlaces o descargue archivos. En lugar de hacer clic en el enlace de inmediato, pase el cursor sobre él para examinar la URL completa que debería aparecer en la parte inferior del navegador. No haga clic en ningún enlace de correo electrónico hasta que esté seguro de que son auténticos, lo que puede significar comunicarse con el remitente en un sistema separado para verificarlo.

También debe evitar descargar aplicaciones falsas.

Asegúrese de tener una buena aplicación antivirus y antimalware instalada y actualizada regularmente. A menudo puede detectar enlaces de phishing dentro de correos electrónicos. Los parches de aplicaciones y sistemas operativos también deben instalarse de inmediato porque están diseñados para corregir las vulnerabilidades que explota. Los delincuentes de Internet con frecuencia.

También debe proteger los puntos de acceso de su red con contraseñas seguras y utilizar la autenticación multifactor (MFA) para proteger el acceso a su red y otras computadoras y servicios en su organización. Hacer copias de seguridad regularmente también es una buena idea.

¿Debería preocuparse por NetWalker?

Si bien los usuarios finales individuales aún no han sido atacados, NetWalker puede usar su sistema como puerta de enlace para infiltrarse en las redes de su organización con correos electrónicos de phishing, archivos maliciosos o aplicaciones falsas infectadas.

El ransomware es intimidante, pero puede protegerse tomando precauciones razonables y manteniéndose alerta. llegar a conocerme Cómo protegerse del espionaje no ético o ilegal

Ir al botón superior