O crime cibernético cresceu exponencialmente em 2020: ransomware Emotet, Trickbot, Maze, Ryuk e agora Netwalker se tornaram um problema sério em todos os setores, grandes e pequenos, públicos e privados, e não há razão para acreditar que essa tendência irá diminuir.
Em 2019, os cibercriminosos extorquiram cerca de US $ 11,5 bilhões de suas vítimas . Para efeito de comparação, em 2018 esse número era de 8 bilhões. Os especialistas estimam que as perdas com ataques de ransomware crescerão quase 100% até 2021, chegando a US $ 20 bilhões. Desde seus primeiros ataques em março de 2020, a Netwalker, também conhecida como Mailto, permitiu que os invasores resgatassem mais de US $ 30 milhões.
O que é o ransomware Netwalker?
Netwalker é um programa de ransomware em rápido crescimento, criado em 2019 por um grupo cibercriminoso conhecido como Circus Spider. Circus Spider é um dos novos membros do grupo Mummy Spider . À primeira vista, o Netwalker atua como a maioria dos outros sabores de ransomware: ele se infiltra no sistema por meio de e-mails de phishing, extrai e criptografa dados confidenciais e os guarda para resgate.
Infelizmente, a Netwalker é capaz de mais do que apenas manter os dados capturados como reféns. Para demonstrar a sua seriedade, o Circus Spider publica uma amostra dos dados roubados na Internet, afirmando que se a vítima não cumprir os seus requisitos a tempo, o resto dos dados irá para a darknet. O Circus Spider publica dados confidenciais da vítima na darknet em uma pasta protegida por senha e publica a senha na Internet.
O ransomware Netwalker usa o modelo de ransomware como serviço (RaaS).
Em março de 2020, os membros do Circus Spider decidiram tornar Netwalker um nome familiar. Eles expandiram sua rede de afiliados de forma semelhante ao grupo de criminosos por trás de Maze. Migração de ransomware-as-a-service (RaaS)permitiu-lhes expandir substancialmente, visar mais organizações e aumentar as aquisições que receberam.
O modelo RaaS inclui o recrutamento de assistentes para auxiliar na execução de planos criminosos. Como mencionado acima, a Netwalker estava começando a ganhar força e já apresentava uma série de grandes resultados. No entanto, em comparação com outros grandes grupos de ransomware, eles permaneceram pequenos ... até que mudaram para o modelo RaaS .
Para ganhar a "honra" de ingressar em seu pequeno grupo criminoso, o Circus Spider postou um conjunto específico de critérios exigidos - uma espécie de vaga criminal, se você quiser.
Seus principais critérios na escolha de "assistentes":
- experiência com networking;
- fluência em russo (não aceitam falantes de inglês);
- eles não educam usuários inexperientes;
- ter acesso constante a objetivos que são valiosos para eles;
- evidência de experiência.
Para atrair o maior número possível de apoiadores em potencial, o Circus Spider publicou uma lista de oportunidades às quais seus novos parceiros terão acesso.
Eles incluem:
- painel de chat TOR totalmente automático;
- direitos do observador;
- suporte para todos os dispositivos Windows a partir do Windows 2000;
- bloqueador multithread rápido;
- configurações de bloqueador rápidas e flexíveis;
- acesso a processos de desbloqueio;
- criptografia da rede adjacente;
- Assemblies PowerShell exclusivos para facilitar o trabalho com software antivírus;
- pagamentos instantâneos.
Quem e o que é o alvo do ransomware Netwalker?
Desde o primeiro grande resultado em março de 2020, houve um aumento nos ataques de ransomware da Netwalker. Em primeiro lugar, seus objetivos eram instituições de saúde e educacionais. Eles conduziram uma de suas campanhas mais publicamente divulgadas contra uma grande universidadeespecializada em pesquisa médica. O ransomware roubou os dados confidenciais desta universidade e, para mostrar que eram graves, os invasores disponibilizaram publicamente uma amostra dos dados roubados. Esses dados incluíam aplicativos de alunos contendo informações como números de previdência social e outros dados confidenciais. Essa violação fez com que a universidade pagasse aos invasores um resgate de US $ 1,14 milhão para descriptografar seus dados.
Os invasores por trás do Netwalker fizeram uma tentativa séria de capitalizar sobre o caos da epidemia de coronavírus. Eles enviaram e-mails de phishing sobre a pandemia, visando instalações de saúde que já estavam sobrecarregadas por aqueles afetados pela pandemia. O site é um dos primeiros vítimas de assistência médica foram bloqueadas por ransomware assim que as pessoas começaram a procurá-las em busca de conselhos durante a pandemia. Esse ataque os forçou a lançar um segundo site e direcionar os usuários a um novo, causando preocupação e confusão entre todos os envolvidos. Ao longo do ano, a Netwalker e outros grupos de ransomware continuaram a atacar instalações de saúde , tirando proveito de sua falta de foco na segurança.
Além de saúde e educação, a Netwalker ataca organizações em outros setores, incluindo:
- Produção;
- gestão de negócios;
- experiência do cliente e gestão da qualidade do serviço;
- veículos elétricos e soluções para armazenamento de eletricidade;
- Educação;
- e muitos outros.
Como funciona o Netwalker?
Etapa 1: phishing e infiltração
A Netwalker depende muito de phishing e spear phishing como métodos de infiltração . Em comparação com outro ransomware, os e-mails de phishing da Netwalker são frequentes. Esses e-mails parecem legítimos e facilmente enganam as vítimas. Normalmente, o Netwalker anexa um script VBS denominado CORONAVIRUS_COVID-19.vbs que inicia o ransomware se o destinatário abrir um documento de texto anexado com um script malicioso.
Etapa 2: exfiltrar e criptografar dados
Se o script for aberto e executado em seu sistema, o Netwalker começou a se infiltrar em sua rede. A partir deste momento, a contagem regressiva para a criptografia começa. Uma vez no sistema, o ransomware se torna um processo desavisado, geralmente na forma de um executável da Microsoft. Ele faz isso removendo o código do executável e injetando seu próprio código malicioso nele para acessar o process.exe. Este método é conhecido como esvaziamento do processo . Ele dá ao ransomware a capacidade de permanecer online por tempo suficiente para extrair e criptografar dados, excluir backups e criar brechas caso alguém perceba que algo está errado.
Etapa 3: extorsão e recuperação (ou perda) de dados
Depois que o Netwalker termina de filtrar e criptografar os dados, a vítima descobre que os dados foram roubados e encontra uma nota de resgate. A nota de resgate da Netwalker é relativamente padrão: ela explica o que aconteceu e o que o usuário deve fazer se quiser que seus dados sejam sãos e salvos. O Circus Spider exigirá então uma certa quantia de dinheiro para pagar em Bitcoin usando o portal do navegador TOR.
( Fonte )
Uma vez que a vítima atende aos requisitos, ela obtém acesso à sua ferramenta de descriptografia individual e pode descriptografar seus dados com segurança.
Se a vítima não cumprir os requisitos a tempo, os atacantes irão aumentar o resgate ou publicar todos ou parte dos dados roubados na darknet.
Abaixo está um diagrama de um caminho de ataque específico do Netwalker.
( Fonte )
Dicas para proteção contra ransomware Netwalker
O Netwalker está se tornando mais sofisticado e mais difícil de se defender. Isso se deve principalmente ao crescimento de sua rede de "assistentes".
Recomendamos os seguintes procedimentos de mitigação simples:
- Faça backup de dados importantes para armazenamento de dados local;
- Certifique-se de que as cópias dos dados críticos sejam armazenadas na nuvem, em um disco rígido externo ou dispositivo de armazenamento;
- , , ;
- ;
- Wi-Fi. VPN;
- ;
- , . Netwalker, -, , , , .
Embora esses procedimentos ajudem a mitigar o dano causado pelo ransomware após infectar seu sistema, ainda estão apenas mitigando o dano. Executar esses procedimentos de forma proativa ajudará a prevenir a propagação e mitigar os danos do ransomware depois que ele entrar no sistema. Informar e treinar funcionários em noções básicas de segurança da informação será uma ferramenta poderosa na luta contra a Netwalker.
Não caia em truques de phishing
Como o Netwalker infecta principalmente os sistemas enviando e-mails de phishing com links maliciosos e arquivos executáveis, informar sua organização sobre os perigos dos e-mails de phishing e o que deve ser observado para filtrar e-mails suspeitos é essencial para proteger seus dados confidenciais.
O treinamento regular obrigatório em noções básicas de segurança da informação é uma ótima ferramenta de prevenção que pode ajudar sua organização a identificar sinais de e-mails maliciosos. Aqui está o que você deve observar sempre que receber um e-mail solicitando que você clique em um link, baixe um arquivo ou compartilhe suas credenciais:
- verifique cuidadosamente o nome e o domínio de onde o e-mail está sendo enviado;
- verifique se há erros ortográficos óbvios no assunto e no corpo da mensagem;
- não forneça suas credenciais - remetentes legítimos nunca as pedirão;
- não abra anexos ou baixe links suspeitos;
- denuncie e-mails suspeitos à sua equipe de segurança de informações.
Também recomendamos a execução de ataques simulados . Enviar emails de phishing falsos para pessoas em sua organização é uma ótima maneira de avaliar a eficácia de seu treinamento de segurança e determinar quem pode precisar de mais ajuda com isso. Rastreie as métricas de engajamento do usuário para ver quem está interagindo com quaisquer links ou anexos, emitindo suas credenciais ou relatando ao serviço responsável em sua organização.
Use sistemas de detecção de ameaças com base em análises comportamentais
Treinar sua organização para reconhecer e responder a ataques de phishing associados a ransomware é uma grande ajuda na proteção de seus dados confidenciais. No entanto, a detecção precoce de ameaças com base na análise comportamental ajudará a limitar sua vulnerabilidade aos efeitos destrutivos do ransomware.
Se uma conta de usuário comprometida começar a obter acesso a dados confidenciais, a detecção de ameaças comportamentais o reconhecerá e notificará imediatamente. Por exemplo, a Varonis usa vários comportamentos para descobrir como determinados usuários normalmente acessam os dados. Isso permite que você determine quando a natureza do acesso do usuário aos dados ou a quantidade de dados começa a diferir do normal. Varonis distingue entre ações manuais e automáticas e detecta se o usuário começa a mover ou criptografar arquivos de uma maneira incomum, interrompendo o ransomware desde o início. Muitos de nossos clientes automatizam a resposta a esse comportamento, desconectando suas contas e encerrando as conexões ativas.
Também é importante monitorar continuamente a atividade do sistema de arquivos para reconhecer a tempo quando o ransomware está salvando ferramentas de infiltração conhecidas no disco (uma tática comum do Netwalker ) ou quando um usuário procura arquivos com senhas ou outros dados confidenciais em compartilhamentos de arquivos.
Qualquer conta de usuário geralmente tem acesso a muito mais dados do que o necessário, portanto, essas pesquisas costumam ser frutíferas. Leia abaixo como mitigar esses riscos.
Mude para o modelo Zero Trust
A detecção correta é uma etapa importante na proteção da sua organização contra ransomware. No entanto, é igualmente importante criar tais condições que, mesmo que o ransomware passe despercebido para a detecção inicial, seus danos sejam mínimos. As organizações podem fazer isso minimizando os dados que expõem. Assim, a quantidade de dados que podem ser criptografados ou roubados será limitada.
Se você suspeitar que é uma vítima do ransomware Netwalker, pesquise todos os acessos e alterações de arquivos feitos por qualquer usuário em qualquer período de tempo para localizar os arquivos afetados e restaurar as versões corretas. Você também pode entrar em contato com o Varonis Incident Response Service e nós o ajudaremos a investigar o incidente gratuitamente.