Wat is NetWalker Ransomware en hoe kunt u zich ertegen beschermen?
NetWalker wordt ook wel Verward , Maat , En KazKavKovKiz . Het is een goed gestructureerde reeks programma's die omvat detectie vermijden . Het kan zich over een netwerk verspreiden
De NetWalker-ransomware infecteert alleen draaiende computers Ramen, en de belangrijkste doelwitten zijn medische en onderwijsinstellingen. Dit systeem vergrendelt niet alleen bestanden, maar steelt ook gegevens en deelt deze op de Donker web , waardoor de onderwerpen van die informatie zich richten op aanvullende malware-aanvallen van andere hackergroepen.
De NetWalker-ransomware is een Russisch malware-aanval die verschillende grote ziekenhuizen en universiteiten heeft getroffen. Deze ransomware is het product van een groot misdaadsyndicaat en het team erachter heeft zelfs geadverteerd voor partners om de malware te helpen verspreiden.
De makers van NetWalker opereren als een onderneming en houden toezicht op verschillende divisies. Deze divisies zijn gespecialiseerd in specifieke soorten malware. Elke sectie van het syndicaat is het winstcentrum, maar deelt in de managementexpertise van de moederonderneming en deelt mogelijk ook een pool van programmeurs.
Wie heeft NetWalker geproduceerd?
NetWalker, door sommigen geschreven als NetWalker, is een eigenschap van de groep genaamd Circusspin . Dit is een verdeling van Mama Spin . Het hele syndicaat is gevestigd in Rusland en er zijn andere partners in de organisatie die bekende ransomware en verschillende soorten malware hebben geproduceerd. Mummy Spider creëerde in 2014 een cybercriminaliteitsnetwerk met behulp van een Trojaans paard genaamd De emotie om veel privécomputers te infecteren. Deze infecties kunnen zich aanmelden bij een centrale Command and Control (C&C)-server voor instructies. Het enorme leger van geïnfecteerde computers wordt een botnet .
Ook de Mummy Spider-expertise is gecreëerd Trickbot , een ander botnet, via zijn Tovenaar Spin divisie. Een andere divisie, gebeld Grimmige spin , gebruikte het Trickbot-systeem om zogenaamde ransomware te verspreiden Ryuk . Deze organisatie had dus al uitgebreide ervaring met het maken van ransomware toen het Circus Spider in 2019 oprichtte om NetWalker te creëren en te beheren.
Het Mummy Spider-conglomeraat ontwerpt zijn malware om computers in Rusland of een van de landen van de voormalige Sovjet-Unie niet aan te vallen. Het is bekend dat de organisatie extra inkomstenstromen uit haar systemen haalt door deze tegen betaling beschikbaar te stellen aan andere hackerteams. Dit is een Infrastructuur als een service concept, en het stelt andere hackerteams in staat aanvallen uit te voeren zonder de kosten vooraf van het ontwikkelen van een leveringsmechanisme.
Ransomware-as-a-Service
Na het ontwikkelen van NetWalker in augustus 2019 en het uitvoeren van enkele aanvallen vanaf september 2019, besloot het Circus Spider-team op zoek te gaan naar partners. In april 2020 stelde de groep zijn aanvalssoftware beschikbaar in een Ransomware-as-a-Service model. Hierdoor hebben andere hackers toegang tot de software zonder de code te hoeven distribueren. De programma's draaien op de Circus Spider-server en client-hackerteams krijgen toegang tot het systeem via een gebruikersinterface.
Het Ransomware-as-a-Service-concept bootst het Software-as-a-Service (SaaS)-bedrijfsmodel na dat door softwareproducenten wordt gebruikt om cloudgebaseerde diensten . Terwijl SaaS-aanbieders veel klanten hopen te trekken, wilde Circus Spider er maar twee.
De groep plaatste een prospectus op het Dark Web en interviewde kandidaten. Ze waren specifiek op zoek naar geassocieerden met kennis van netwerktechnologie, een gevestigde pool van doelen, bewijs van ervaring en een unieke aanvalsstrategie. De groep zou alleen zaken doen met Russischsprekende medewerkers.
Geadverteerde functies van het RaaS-platform inbegrepen een Tor-chatpaneel voor anonieme technische ondersteuning, een multi-thread locker, een reeks versleutelingsopties, geautomatiseerde verwerking van losgeldbetalingen, een ontgrendelingsmodule, laterale infectie, PowerShell-routines om AV's te blokkeren, en onmiddellijke uitbetalingen .
Het pakket van de Circus Spider-groep verwerkte de betalingen en keerde een deel uit aan de aangesloten onderneming zodra er losgeld werd ontvangen. Dankzij een openbaarmakingsfunctie in het portaal kunnen aangesloten bedrijven de logboeken van de aanvalsgebeurtenissen bekijken om ervoor te zorgen dat ze niet worden opgelicht. deel van de losgeldbetalingen .
Hoe begint een NetWalker-aanval?
De aard van de NetWalker-aanvalsstrategieën is in de loop van de tijd veranderd als gevolg van de betrokkenheid van andere teams bij het identificeren van doelen. Een sector die echter als rijk aan goede cijfers is aangemerkt, is de Gezondheidszorg industrie. De makers richtten zich vooral op ziekenhuismedewerkers met phishing-e-mails gerelateerd aan de COVID-19 uitbraak.
Het installatieprogramma voor NetWalker wordt geleverd als een bijlage naar een e-mail. De bijlage is meestal een Word-document en bevat ook: VBScript dat het installatieproces voor de NetWalker-ransomware activeert.
Zodra de ransomware op één eindpunt van een netwerk is geïnstalleerd, stuurt deze een uitvoerbaar bestand naar andere apparaten. Dit programma heet WTVConverter.exe . Het uitvoerbare bestand van de ransomware verbergt zich terwijl het wordt uitgevoerd met behulp van een procedure die bekend staat als proces uitholling . Het start explorer.exe op, een legitiem proces, maar het start dat programma ook een geschorste staat . Vervolgens wijst het de geheugenruimte die aan dat proces is toegewezen opnieuw toe aan de code ervan. De ransomware verschijnt dus als explorer.exe in Taakbeheer.
Zodra het ransomwareproces is gestart, wordt het programmabestand van de oorspronkelijke locatie naar de AppDataRoaming map. Het wordt ook opgezet een registersleutel om het programma bij het opstarten uit te voeren.
Het proces voor de ransomware zal specifieke andere programma's doden als deze actief zijn. Dit omvat productiviteitsgeschikte componenten waarvoor mogelijk een bestand geopend is, waardoor wordt voorkomen dat het wordt overschreven. De ransomware heeft tot doel alle werkbestanden te versleutelen, maar programmabestanden met rust te laten.
Het NetWalker-coderingsproces
De NetWalker-encryptor heeft een voorbereidende fase zodra deze bestanden met gegevens heeft gelokaliseerd. Het overdrachten uit bestanden voordat u met de codering begint. Dit maakt deel uit van een zorgwekkende trend op het gebied van ransomware een dubbele dreiging .
Bedrijven die moeten voldoen aan de normen voor gegevensprivacy riskeren zware boetes als gegevens openbaar worden gemaakt. Dat kunnen ze ook zijn aangeklaagd door de personen wier informatie is gelekt. Organisaties die actief zijn in de gezondheidszorg zijn bijzonder kwetsbaar voor dit soort dreigingen, omdat zij hieraan moeten voldoen HIPAA om in zaken te blijven. Deze norm vereist de bescherming van patiëntinformatie.
De encryptor zal ook alles verwijderen schaduwkopieën van Office-documenten. Dit zijn de automatisch opgeslagen kopieën en niet de back-ups die u maakt. U moet over een back-upproces beschikken om uw gegevens te beschermen tegen incidenten zoals een NetWalker-ransomware-aanval. Als u beveiligingsmaatregelen heeft getroffen en een kopie buiten de locatie opslaat, moet u er zeker van zijn dat NetWalker niet in uw back-upopslag kan komen.
De encryptor verandert de naam en voegt twee extra extensies toe, de eerste hiervan is melk, gevolgd door een e-mailadres tussen vierkante haakjes. Het e-mailadres bevindt zich meestal op het domein pik.li , hoewel het niet altijd hetzelfde adres is. De tweede extra extensie is een reeks van vijf tekens. Dit is hetzelfde op alle gecodeerde bestanden en maakt deel uit van de identificatie voor de aanval .
Het coderingsproces maakt gebruik van de Salsa20 cipher, dat veel wordt gebruikt bij ransomware.
Het NetWalker-losgeld
Wanneer het versleutelingsproces op een schijf is voltooid, laat de ransomware een tekstbestand achter de eis om losgeld . Hierdoor wordt het slachtoffer gevraagd contact op te nemen met een van de twee opgegeven e-mailadressen voor instructies. Het eerste van deze adressen is het adres dat aan de naam van elk gecodeerd bestand wordt toegevoegd.
De NetWalker-ransomware geeft slachtoffers een uitstelperiode om te betalen. Zodra die periode is verstreken, wordt het losgeld verhoogd en wordt het aftellen gereset. Het systeem zal een deel van de gegevens over de Circus Spider Darkweb-website . Deze website is ook het portaal waartoe slachtoffers toegang moeten hebben om het losgeld te betalen. Het bevat ook een bulletin van de huidige slachtoffers en hoe lang ze moeten betalen.
Als het slachtoffer nog steeds niet betaalt, worden al zijn gegevens verkocht aan een andere hackergroep of gepubliceerd op de Circus Spider-website. Voor bedrijven die normen voor gegevensprivacy volgen, de gevolgen daarvan openbaring zou rampzalig kunnen zijn. Het bedrijf zal niet alleen geld verliezen door dossiers, maar ook het grootste deel van zijn klanten verliezen, die verplicht zijn alleen zaken te doen met leveranciers die over standaardaccreditatie beschikken. Dus herstellen vanaf een back-up en het negeren van de eis om losgeld is geen optie.
Verdediging tegen de NetWalker-ransomware
Het NetWalker-systeem is momenteel niet actief. Een van de medewerkers van het team, een Frans-Canadees, was dat wel gearresteerd in januari 2021. Tegelijkertijd voltooiden de Amerikaanse en Bulgaarse autoriteiten een gezamenlijke operatie tegen de Circus Spider-website. Neerhalen de site nam de dreiging van het vrijgeven van gegevens weg, waardoor herstel vanaf een back-up mogelijk werd een haalbare optie . Het team is echter nog steeds actief, dus er is geen garantie dat de NetWalker-ransomware niet terugkomt.
Het belangrijkste dat u zich tegen NetWalker en alle ransomware moet verdedigen, is uw gebruikersgemeenschap voor te lichten tegen het klikken op links in e-mails of het downloaden van bijlagen. U moet ook beveiligingssoftware kopen.
Hulpmiddelen ter bescherming tegen de NetWalker-ransomware
U hebt beveiligingssystemen nodig die dit implementeren eindpuntdetectie en -respons (EDR) en bescherm gevoelige gegevens om naleving van de privacynormen te garanderen. U zult waarschijnlijk niet de beste bescherming vinden met één tool die alle beveiligingstaken uitvoert. Met een combinatie van tools kunt u zich echter zowel verdedigen tegen ransomware als een tweede verdedigingslinie bieden ringhekken de gevoelige gegevens die uw organisatie bewaart.
Overweeg de volgende beveiligingssystemen ter verdediging tegen de NetWalker-ransomware.
1. CrowdStrike Falcon Insight (GRATIS PROEF)
CrowdStrike Falcon-inzicht is een eindpuntdetectie- en responssysteem (EDR) dat apparaatresidente software en een cloudgebaseerde coördinator omvat. Het garanderen van een aanzienlijk deel van dit systeem op elk eindpunt snelle reacties en behoudt de bescherming, zelfs als het apparaat offline is.
De cloudcoördinator kan activiteitenrapporten verwerken die door alle eindpuntagenten zijn geüpload. Het ontvangt ook dreigingsinformatie feeds van CrowdStrike om op de hoogte te blijven van de nieuwste aanvalsstrategieën. Deze informatie is afkomstig van CrowdStrike-analisten en ook van de aanvallen die andere CrowdStrike-klanten hebben ervaren.
Het cloudsysteem werkt elke eindpuntagent bij met de nieuwste informatie en zorgt er ook voor dat alle agenten worden gewaarschuwd als een apparaat wordt geraakt.
De endpoint-agent is ook verkrijgbaar als zelfstandig product, genaamd CrowdStrike Falcon-preventie . Dit zoekt naar verdachte activiteit in plaats van specifieke bestandsnamen of processen. Door deze methode kan de dienst malware opsporen en blokkeren die cybersecurity-consultants nog niet hebben geïdentificeerd. CrowdStrike voert een malware-onderzoekslaboratorium dat was een van de belangrijkste identificatiegegevens van de NetWalker-ransomware. Het systeem is volledig uitgerust om met NetWalker om te gaan via geautomatiseerde reacties.
Je kunt eenGratis proefperiode van 15 dagenvan Falcon Prevent.
CrowdStrike Falcon Prevent Start een GRATIS proefperiode van 15 dagen
twee. Beheer Engine DataSecurity Plus
Beheer Engine DataSecurity Plus richt zich op het beschermen van gevoelige gegevens. Het is geschikt voor bedrijven die hieraan moeten voldoen PCI DSS , HIPAA , En AVG . Het softwarepakket is goed op maat gemaakt om te beschermen tegen de gegevensdiefstalaspecten van de NetWalker-ransomware en de versleutelingsactiviteiten ervan.
De eerste taak van DataSecurity Plus is het opzoeken van alle winkels van gevoelige data . Vervolgens scant het alle gegevensbestanden en categoriseert de gevoeligheid van de informatie die erin wordt bewaard. Hierdoor kunt u een strategie implementeren die bescherming toevoegt aan specifieke soorten gegevens. Bedrijven in de gezondheidszorg zullen bijvoorbeeld patiëntinformatie moeten beschermen. Deze tool gaat niet alleen over het naleven van standaarden. Het zal ook betrekking hebben op intellectuele eigendom en bedrijfsgeheimen.
Zodra de bestanden die moeten worden beschermd, zijn geïdentificeerd, implementeert DataSecurity Plus een bestandsintegriteitsmonitor (FIM) . Dit identificeert ongeoorloofde acties op bestanden en de versleuteling die door ransomware wordt uitgevoerd, valt in deze categorie.
Wanneer er zich een probleem voordoet, zal DataSecurity Plus een melding maken een waarschuwing . Het is ook mogelijk om aan te geven dat het systeem geautomatiseerde reacties implementeert. Deze acties omvatten het beëindigen van processen, het verwijderen van programmabestanden, het isoleren van het apparaat van het netwerk en het herstellen van bestanden vanuit back-upopslag.
DataSecurity Plus wordt geïnstalleerd op Windows-server en beschermt eindpunten met Windows. Het is beschikbaar voor een 30 dagen gratis uitproberen .