El ciberdelito ha crecido exponencialmente en 2020: el ransomware Emotet, Trickbot, Maze, Ryuk y ahora Netwalker se han convertido en un problema grave en todas las industrias, grandes y pequeñas, públicas y privadas, y no hay razón para creer que esta tendencia disminuirá.
En 2019, los ciberdelincuentes extorsionaron alrededor de $ 11.5 mil millones a sus víctimas . A modo de comparación, en 2018 esta cifra fue de 8 mil millones. Los expertos estiman que las pérdidas por ataques de ransomware crecerán casi un 100% en 2021 hasta alcanzar los 20.000 millones de dólares. Desde sus primeros ataques en marzo de 2020, Netwalker, también conocido como Mailto, ha permitido a los atacantes rescatar más de $ 30 millones.
¿Qué es el ransomware Netwalker?
Netwalker es un programa de ransomware de rápido crecimiento creado en 2019 por un grupo de ciberdelincuentes conocido como Circus Spider. Circus Spider es uno de los nuevos miembros del grupo más grande de Mummy Spider . A primera vista, Netwalker actúa como la mayoría de los otros tipos de ransomware: se infiltra en el sistema a través de correos electrónicos de phishing, extrae y cifra datos confidenciales y luego los retiene para pedir un rescate.
Por desgracia, Netwalker es capaz de algo más que mantener como rehenes los datos capturados. Para demostrar su seriedad, Circus Spider publica una muestra de los datos robados en Internet, afirmando que si la víctima no cumple con sus requisitos a tiempo, entonces el resto de los datos irán a la darknet. Circus Spider publica datos confidenciales de las víctimas en la red oscura en una carpeta protegida con contraseña y publica la contraseña en Internet.
El ransomware Netwalker utiliza el modelo de ransomware como servicio (RaaS).
En marzo de 2020, los miembros de Circus Spider decidieron hacer de Netwalker un nombre familiar. Expandieron su red de afiliados de manera similar al grupo de criminales detrás de Maze. Migración de ransomware-as-a-service (RaaS)les permitió escalar sustancialmente, apuntar a más organizaciones y aumentar las adquisiciones que recibieron.
El modelo RaaS incluye la contratación de asistentes para ayudar en la ejecución de planes criminales. Como se mencionó anteriormente, Netwalker estaba comenzando a ganar tracción y ya tenía una serie de grandes resultados. Sin embargo, en comparación con otros grandes grupos de ransomware, siguieron siendo pequeños ... hasta que cambiaron al modelo RaaS .
Para ganarse el "honor" de unirse a su pequeño grupo criminal, Circus Spider publicó un conjunto específico de criterios requeridos: una especie de vacante criminal, por así decirlo.
Sus principales criterios a la hora de elegir "asistentes":
- experiencia con la creación de redes;
- fluidez en ruso (no aceptan angloparlantes);
- no educan a los usuarios sin experiencia;
- tener acceso constante a metas que son valiosas para ellos;
- evidencia de experiencia.
Para atraer a tantos seguidores potenciales como sea posible, Circus Spider ha publicado una lista de oportunidades a las que tendrán acceso sus nuevos socios.
Incluyen:
- panel de chat TOR completamente automático;
- derechos de observador;
- soporte para todos los dispositivos Windows a partir de Windows 2000;
- bloqueador multiproceso rápido;
- configuraciones de bloqueo rápidas y flexibles;
- acceso a procesos de desbloqueo;
- cifrado de la red adyacente;
- Ensamblados únicos de PowerShell para facilitar el trabajo con software antivirus;
- pagos instantáneos.
¿A quién y qué se dirige el ransomware Netwalker?
Desde el primer resultado importante en marzo de 2020, ha habido un aumento en los ataques de ransomware Netwalker. En primer lugar, sus objetivos eran las instituciones educativas y de salud. Llevaron a cabo una de sus campañas más denunciadas públicamente contra una importante universidad.especializada en investigación médica. El ransomware robó los datos confidenciales de esta universidad y, para demostrar que eran serios, los atacantes pusieron a disposición del público una muestra de los datos robados. Estos datos incluyen aplicaciones de estudiantes que contienen información como números de seguro social y otros datos confidenciales. Esta violación provocó que la universidad pagara a los atacantes un rescate de 1,14 millones de dólares para descifrar sus datos.
Los atacantes detrás de Netwalker han hecho un serio intento de capitalizar el caos de la epidemia de coronavirus. Enviaron correos electrónicos de phishing sobre la pandemia, dirigidos a los centros de atención médica que ya estaban abrumados por los afectados por la pandemia. El sitio es uno de los primeros Las víctimas de atención médica fueron bloqueadas por ransomware justo cuando la gente comenzó a acudir a ellos en busca de consejo durante la pandemia. Este ataque los obligó a lanzar un segundo sitio y dirigir a los usuarios a uno nuevo, provocando preocupación y confusión entre todos los involucrados. A lo largo del año, Netwalker y otros grupos de ransomware continuaron atacando los centros de salud , aprovechando su falta de enfoque de seguridad.
Además de la atención médica y la educación, Netwalker ataca organizaciones en otras industrias, que incluyen:
- producción;
- administración de Empresas;
- gestión de la experiencia del cliente y la calidad del servicio;
- vehículos eléctricos y soluciones para el almacenamiento de electricidad;
- educación;
- y muchos otros.
¿Cómo funciona Netwalker?
Paso 1: phishing e infiltración
Netwalker se basa en gran medida en el phishing y el spear phishing como métodos de infiltración . En comparación con otros ransomware, los correos electrónicos de phishing de Netwalker son frecuentes. Estos correos electrónicos parecen legítimos y engañan fácilmente a las víctimas. Normalmente, Netwalker adjunta un script VBS llamado CORONAVIRUS_COVID-19.vbs que inicia el ransomware si el destinatario abre un documento de texto adjunto con un script malicioso.
Paso 2: exfiltrar y cifrar datos
Si el script se abre y se ejecuta en su sistema, Netwalker ha comenzado a infiltrarse en su red. A partir de este momento, comienza la cuenta atrás para el cifrado. Una vez en el sistema, el ransomware se convierte en un proceso desprevenido, generalmente en forma de un ejecutable de Microsoft. Para ello, elimina el código del ejecutable e inyecta su propio código malicioso para acceder a process.exe. Este método se conoce como Process Hollowing . Le da al ransomware la capacidad de permanecer en línea el tiempo suficiente para extraer y cifrar datos, eliminar copias de seguridad y crear lagunas en caso de que alguien note que algo anda mal.
Paso 3: extorsión y recuperación (o pérdida) de datos
Una vez que Netwalker termina de filtrar y cifrar los datos, la víctima descubre que los datos han sido robados y encuentra una nota de rescate. La nota de rescate de Netwalker es relativamente estándar: explica lo que sucedió y lo que el usuario debe hacer si quiere que sus datos se recuperen sanos y salvos. Circus Spider requerirá una cierta cantidad de dinero para pagar en Bitcoin utilizando el portal del navegador TOR.
( Fuente )
Una vez que la víctima cumple con los requisitos, obtiene acceso a su herramienta de descifrado individual y puede descifrar sus datos de forma segura.
Si la víctima no cumple con los requisitos a tiempo, los atacantes aumentarán el rescate o publicarán la totalidad o parte de los datos robados en la darknet.
A continuación se muestra un diagrama de una ruta de ataque específica de Netwalker.
( Fuente )
Consejos para protegerse contra el ransomware Netwalker
El Netwalker se está volviendo más sofisticado y más difícil de defender. Esto se debe principalmente al crecimiento de su red de "asistentes".
Recomendamos los siguientes procedimientos simples de mitigación:
- Haga una copia de seguridad de los datos importantes en el almacenamiento de datos local;
- Asegúrese de que las copias de los datos críticos se almacenen en la nube, en un disco duro externo o dispositivo de almacenamiento;
- , , ;
- ;
- Wi-Fi. VPN;
- ;
- , . Netwalker, -, , , , .
Si bien estos procedimientos ayudarán a mitigar el daño causado por el ransomware después de infectar su sistema, solo mitigan el daño. La realización de estos procedimientos de forma proactiva ayudará a prevenir la propagación y mitigar el daño del ransomware una vez que haya entrado en su sistema. Informar y capacitar a los empleados en los aspectos básicos de la seguridad de la información será una herramienta poderosa en la lucha contra Netwalker.
No caiga en los trucos de phishing
Dado que Netwalker infecta principalmente los sistemas mediante el envío de correos electrónicos de phishing con enlaces maliciosos y archivos ejecutables, informar a su organización sobre los peligros de los correos electrónicos de phishing y lo que debe tener en cuenta para filtrar los correos electrónicos sospechosos es imprescindible para proteger sus datos confidenciales.
La capacitación periódica obligatoria sobre los conceptos básicos de seguridad de la información es una excelente herramienta de prevención que puede ayudar a su organización a identificar señales de correos electrónicos maliciosos. Esto es lo que debe tener en cuenta cada vez que recibe un correo electrónico que le pide que haga clic en un enlace, descargue un archivo o comparta sus credenciales:
- compruebe cuidadosamente el nombre y el dominio desde el que se envía el correo electrónico;
- comprobar errores ortográficos obvios en el asunto y el cuerpo del mensaje;
- no proporcione sus credenciales; los remitentes legítimos nunca las pedirán;
- no abra archivos adjuntos ni descargue enlaces sospechosos;
- Informe los correos electrónicos sospechosos a su equipo de seguridad de la información.
También recomendamos ejecutar ataques simulados . Enviar correos electrónicos de phishing falsos a personas de su organización es una excelente manera de evaluar la efectividad de su capacitación en seguridad y determinar quién podría necesitar más ayuda con esto. Realice un seguimiento de las métricas de participación del usuario para ver quién está interactuando con los enlaces o archivos adjuntos, emitiendo sus credenciales o informando al servicio responsable en su organización.
Utilice sistemas de detección de amenazas basados en análisis de comportamiento
Capacitar a su organización para reconocer y responder a los ataques de phishing asociados con el ransomware es de gran ayuda para proteger sus datos confidenciales. Sin embargo, la detección temprana de amenazas basada en análisis de comportamiento ayudará a limitar su vulnerabilidad a los efectos destructivos del ransomware.
Si una cuenta de usuario comprometida comienza a obtener acceso a datos confidenciales, la detección de amenazas de comportamiento lo reconocerá y notificará de inmediato. Por ejemplo, Varonis utiliza varios comportamientos para averiguar cómo determinados usuarios suelen acceder a los datos. Esto le permite determinar cuándo la naturaleza del acceso del usuario a los datos o la cantidad de datos comienza a diferir de lo habitual. Varonis distingue entre acciones manuales y automáticas y detecta si el usuario comienza a mover o cifrar archivos de una manera inusual, deteniendo el ransomware desde el principio. Muchos de nuestros clientes automatizan la respuesta a este comportamiento desconectando su cuenta y terminando las conexiones activas.
También es importante monitorear continuamente la actividad del sistema de archivos para reconocer a tiempo cuando el ransomware está guardando herramientas de infiltración conocidas en el disco (una táctica común de Netwalker ), o cuando un usuario busca archivos compartidos con contraseñas u otros datos confidenciales.
Cualquier cuenta de usuario suele tener acceso a muchos más datos de los necesarios, por lo que estas búsquedas suelen ser fructíferas. Lea a continuación cómo mitigar estos riesgos.
Pasar al modelo Zero Trust
La detección correcta es un paso importante para proteger a su organización del ransomware. Sin embargo, es igualmente importante crear condiciones tales que incluso si el ransomware pasa desapercibido para la detección inicial, su daño será mínimo. Las organizaciones pueden hacer esto minimizando los datos que exponen. Por lo tanto, la cantidad de datos que se pueden cifrar o robar será limitada.
Si sospecha que es víctima del ransomware Netwalker, busque todos los accesos a archivos y los cambios realizados por cualquier usuario durante cualquier período de tiempo para identificar los archivos afectados y restaurar las versiones correctas. También puede ponerse en contacto con el Servicio de respuesta a incidentes de Varonis y le ayudaremos a investigar el incidente de forma gratuita.