Die Internetkriminalität ist im Jahr 2020 exponentiell gewachsen: Ransomware Emotet, Trickbot, Maze, Ryuk und jetzt Netwalker sind in allen Branchen, ob groß oder klein, öffentlich und privat, zu einem ernsthaften Problem geworden, und es gibt keinen Grund zu der Annahme, dass dieser Trend nachlassen wird.
Im Jahr 2019 erpressten Cyberkriminelle rund 11,5 Milliarden US-Dollar von ihren Opfern . Zum Vergleich: 2018 waren es 8 Milliarden. Experten schätzen, dass die Verluste durch Ransomware-Angriffe bis 2021 um fast 100% auf 20 Milliarden US-Dollar steigen werden. Seit seinen ersten Angriffen im März 2020 hat Netwalker, auch bekannt als Mailto, Angreifern erlaubt, mehr als 30 Millionen US-Dollar freizulassen.
Was ist Netwalker Ransomware?
Netwalker ist ein schnell wachsendes Ransomware-Programm, das 2019 von einer Cyberkriminellengruppe namens Circus Spider entwickelt wurde. Circus Spider ist eines der neuen Mitglieder der größeren Mummy Spider- Gruppe . Auf den ersten Blick verhält sich Netwalker wie die meisten anderen Ransomware-Varianten: Es infiltriert das System durch Phishing-E-Mails, extrahiert und verschlüsselt vertrauliche Daten und hält sie dann für Lösegeld bereit.
Leider ist Netwalker nicht nur in der Lage, erfasste Daten als Geiseln zu nehmen. Um seine Ernsthaftigkeit zu demonstrieren, veröffentlicht Circus Spider eine Stichprobe der gestohlenen Daten im Internet. Wenn das Opfer seine Anforderungen nicht rechtzeitig erfüllt, werden die restlichen Daten an das Darknet gesendet. Circus Spider veröffentlicht vertrauliche Opferdaten im Darknet in einem passwortgeschützten Ordner und veröffentlicht das Passwort im Internet.
Netwalker Ransomware verwendet das Ransomware as a Service (RaaS) -Modell.
Im März 2020 beschlossen Mitglieder des Circus Spider, Netwalker zu einem bekannten Namen zu machen. Sie erweiterten ihr Affiliate-Netzwerk auf ähnliche Weise wie die Gruppe der Kriminellen hinter Maze. Ransomware-as-a-Service-Migration (RaaS)ermöglichte es ihnen, erheblich zu skalieren, mehr Organisationen anzusprechen und die erhaltenen Buyouts zu erhöhen.
Das RaaS-Modell umfasst die Rekrutierung von Assistenten zur Unterstützung bei der Ausführung von kriminellen Plänen. Wie oben erwähnt, begann Netwalker an Zugkraft zu gewinnen und hatte bereits eine Reihe großer Ergebnisse. Im Vergleich zu anderen großen Gruppen von Ransomware blieben sie jedoch klein ... bis sie zum RaaS-Modell wechselten .
Um die "Ehre" zu verdienen, ihrer kleinen kriminellen Gruppe beizutreten, hat der Circus Spider eine Reihe spezifischer Kriterien veröffentlicht - eine Art kriminelle Stelle, wenn Sie so wollen.
Ihre Hauptkriterien bei der Auswahl von "Assistenten":
- Erfahrung mit Networking;
- fließende Russischkenntnisse (sie akzeptieren keine englischsprachigen Personen);
- Sie bilden keine unerfahrenen Benutzer aus.
- ständigen Zugang zu Zielen, die für sie von Wert sind;
- Erfahrungsnachweis.
Um so viele potenzielle Unterstützer wie möglich anzulocken, hat Circus Spider eine Liste von Möglichkeiten veröffentlicht , auf die ihre neuen Partner Zugriff haben.
Sie beinhalten:
- vollautomatisches TOR-Chat-Panel;
- Beobachterrechte;
- Unterstützung für alle Windows-Geräte ab Windows 2000;
- schneller Multithread-Blocker;
- schnelle und flexible Blockereinstellungen;
- Zugriff auf Entsperrprozesse;
- Verschlüsselung des benachbarten Netzwerks;
- Einzigartige PowerShell-Assemblys, um die Arbeit mit Antivirensoftware zu vereinfachen.
- Sofortzahlungen.
Auf wen und was zielt die Netwalker-Ransomware ab?
Seit dem ersten großen Ergebnis im März 2020 gab es einen Anstieg der Netwalker-Ransomware-Angriffe. Zuallererst waren seine Ziele Gesundheits- und Bildungseinrichtungen. Sie führten eine ihrer am häufigsten gemeldeten Kampagnen gegen eine große Universität durchSpezialisiert auf medizinische Forschung. Die Ransomware hat die vertraulichen Daten dieser Universität gestohlen, und um zu zeigen, dass sie ernst sind, haben die Angreifer eine Stichprobe der gestohlenen Daten öffentlich zugänglich gemacht. Zu diesen Daten gehörten Schüler-Apps mit Informationen wie Sozialversicherungsnummern und anderen sensiblen Daten. Dieser Verstoß führte dazu, dass die Universität den Angreifern ein Lösegeld von 1,14 Millionen US-Dollar für die Entschlüsselung ihrer Daten zahlte.
Die Angreifer hinter Netwalker haben ernsthaft versucht, das Chaos der Coronavirus-Epidemie zu nutzen. Sie verschickten Phishing-E-Mails über die Pandemie und richteten sich an Gesundheitseinrichtungen, die bereits von den von der Pandemie Betroffenen überfordert waren. Die Seite ist eine der ersten Opfer des Gesundheitswesens wurden durch Ransomware blockiert, als sich die Menschen während der Pandemie an sie wandten, um Rat zu holen. Dieser Angriff zwang sie, eine zweite Site zu starten und Benutzer zu einer neuen zu leiten, was bei allen Beteiligten Besorgnis und Verwirrung hervorrief. Während des ganzen Jahres griffen Netwalker und andere Ransomware-Gruppen weiterhin Gesundheitseinrichtungen an und nutzten deren mangelnden Sicherheitsfokus.
Neben Gesundheitswesen und Bildung greift Netwalker Organisationen in anderen Branchen an, darunter:
- Produktion;
- Geschäftsführung;
- Kundenerfahrung und Management der Servicequalität;
- Elektrofahrzeuge und Lösungen zur Stromspeicherung;
- Bildung;
- und viele andere.
Wie funktioniert Netwalker?
Schritt 1: Phishing und Infiltration
Netwalker setzt stark auf Phishing und Spear Phishing als Infiltrationsmethoden . Im Vergleich zu anderer Ransomware sind die Phishing-E-Mails von Netwalker häufig. Diese E-Mails sehen legitim aus und führen die Opfer leicht in die Irre. In der Regel hängt Netwalker ein VBS-Skript mit dem Namen CORONAVIRUS_COVID-19.vbs an , das die Ransomware startet, wenn der Empfänger ein angehängtes Textdokument mit einem schädlichen Skript öffnet.
Schritt 2: Daten filtern und verschlüsseln
Wenn das Skript auf Ihrem System geöffnet und ausgeführt wird, hat Netwalker begonnen, Ihr Netzwerk zu infiltrieren. Ab diesem Moment beginnt der Countdown bis zur Verschlüsselung. Sobald die Ransomware auf dem System installiert ist, wird sie zu einem ahnungslosen Prozess, normalerweise in Form einer ausführbaren Microsoft-Datei. Dazu wird Code aus der ausführbaren Datei entfernt und eigener schädlicher Code in die ausführbare Datei eingefügt, um auf process.exe zuzugreifen. Diese Methode wird als Prozessaushöhlung bezeichnet . Dadurch kann die Ransomware lange genug online bleiben, um Daten zu extrahieren und zu verschlüsseln, Sicherungen zu löschen und Lücken zu erstellen, falls jemand bemerkt, dass etwas nicht stimmt.
Schritt 3: Erpressung und Wiederherstellung (oder Verlust) von Daten
Sobald der Netwalker die Daten gefiltert und verschlüsselt hat, stellt das Opfer fest, dass die Daten gestohlen wurden, und findet einen Lösegeldschein. Der Lösegeldschein von Netwalker ist relativ normal: Er erklärt, was passiert ist und was der Benutzer tun sollte, wenn er möchte, dass seine Daten sicher und zuverlässig zurückgegeben werden. Der Circus Spider benötigt dann einen bestimmten Geldbetrag, um in Bitcoin über das TOR-Browserportal bezahlen zu können.
( Quelle )
Sobald das Opfer die Anforderungen erfüllt, erhält es Zugriff auf sein individuelles Entschlüsselungswerkzeug und kann seine Daten sicher entschlüsseln.
Wenn das Opfer die Anforderungen nicht rechtzeitig erfüllt, erhöhen die Angreifer das Lösegeld oder veröffentlichen alle oder einen Teil der gestohlenen Daten im Darknet.
Unten sehen Sie ein Diagramm eines bestimmten Netwalker-Angriffspfads.
( Quelle )
Tipps zum Schutz vor Netwalker-Ransomware
Der Netwalker wird immer ausgefeilter und schwieriger zu verteidigen. Dies ist hauptsächlich auf das Wachstum ihres Netzwerks von "Assistenten" zurückzuführen.
Wir empfehlen die folgenden einfachen Minderungsverfahren:
- Sichern Sie wichtige Daten in der lokalen Datenspeicherung.
- Stellen Sie sicher, dass Kopien kritischer Daten in der Cloud auf einer externen Festplatte oder einem Speichergerät gespeichert sind.
- , , ;
- ;
- Wi-Fi. VPN;
- ;
- , . Netwalker, -, , , , .
Diese Verfahren tragen zwar dazu bei, den von der Ransomware nach der Infektion Ihres Systems verursachten Schaden zu mindern, mindern jedoch nur den Schaden. Wenn Sie diese Verfahren proaktiv ausführen, können Sie die Ausbreitung verhindern und Schäden durch Ransomware nach dem Eintritt in Ihr System mindern. Die Information und Schulung der Mitarbeiter in den Grundlagen der Informationssicherheit wird ein wirksames Instrument im Kampf gegen Netwalker sein.
Fallen Sie nicht auf Phishing-Tricks herein
Da Netwalker Systeme hauptsächlich durch das Versenden von Phishing-E-Mails mit schädlichen Links und ausführbaren Dateien infiziert, ist es zum Schutz Ihrer sensiblen Daten ein Muss, Ihr Unternehmen über die Gefahren von Phishing-E-Mails zu informieren und darauf zu achten, wie Sie verdächtige E-Mails herausfiltern können.
Eine obligatorische regelmäßige Schulung in den Grundlagen der Informationssicherheit ist ein hervorragendes Präventionsinstrument, mit dem Ihr Unternehmen Anzeichen für böswillige E-Mails erkennen kann. Beachten Sie Folgendes, wenn Sie eine E-Mail erhalten, in der Sie aufgefordert werden, auf einen Link zu klicken, eine Datei herunterzuladen oder Ihre Anmeldeinformationen zu teilen:
- Überprüfen Sie sorgfältig den Namen und die Domain, von der aus die E-Mail gesendet wird.
- Überprüfen Sie den Betreff und den Text der Nachricht auf offensichtliche Rechtschreibfehler.
- Geben Sie Ihre Anmeldeinformationen nicht an - legitime Absender werden niemals danach fragen.
- Öffnen Sie keine Anhänge und laden Sie keine verdächtigen Links herunter.
- Melden Sie verdächtige E-Mails an Ihr Informationssicherheitsteam.
Wir empfehlen außerdem, simulierte Angriffe auszuführen . Das Senden gefälschter Phishing-E-Mails an Personen in Ihrem Unternehmen ist eine hervorragende Möglichkeit, die Effektivität Ihres Sicherheitstrainings zu messen und festzustellen, wer möglicherweise weitere Hilfe benötigt. Verfolgen Sie die Messwerte für die Benutzerinteraktion, um festzustellen, wer mit Links oder Anhängen interagiert, deren Anmeldeinformationen ausgibt oder diese an den zuständigen Dienst in Ihrer Organisation meldet.
Verwenden Sie Bedrohungserkennungssysteme, die auf Verhaltensanalysen basieren
Die Schulung Ihres Unternehmens zum Erkennen und Reagieren auf Phishing-Angriffe im Zusammenhang mit Ransomware ist eine große Hilfe beim Schutz Ihrer sensiblen Daten. Eine frühzeitige Erkennung von Bedrohungen auf der Grundlage von Verhaltensanalysen hilft jedoch dabei, Ihre Anfälligkeit für die zerstörerischen Auswirkungen von Ransomware zu begrenzen.
Wenn ein gefährdetes Benutzerkonto Zugriff auf vertrauliche Daten erhält, werden Sie von der Erkennung von Verhaltensbedrohungen sofort erkannt und benachrichtigt. Beispielsweise verwendet Varonis verschiedene Verhaltensweisen, um herauszufinden, wie bestimmte Benutzer normalerweise auf Daten zugreifen. Auf diese Weise können Sie feststellen, wann die Art des Benutzerzugriffs auf Daten oder die Datenmenge von den üblichen abweichen. Varonis unterscheidet zwischen manuellen und automatischen Aktionen und fängt ab, wenn der Benutzer beginnt, Dateien auf ungewöhnliche Weise zu verschieben oder zu verschlüsseln, wodurch die Ransomware von Anfang an gestoppt wird. Viele unserer Kunden automatisieren die Reaktion auf dieses Verhalten, indem sie ihr Konto trennen und aktive Verbindungen beenden.
Es ist auch wichtig, die Aktivität des Dateisystems kontinuierlich zu überwachen, um rechtzeitig zu erkennen, wann Ransomware bekannte Infiltrationstools auf der Festplatte speichert (eine gängige Netwalker-Taktik ) oder wenn ein Benutzer Dateifreigaben nach Dateien mit Kennwörtern oder anderen vertraulichen Daten durchsucht.
Jedes Benutzerkonto hat normalerweise Zugriff auf viel mehr Daten als erforderlich, sodass diese Suchanfragen häufig fruchtbar sind. Lesen Sie weiter unten, wie Sie diese Risiken mindern können.
Wechseln Sie zum Zero Trust-Modell
Die korrekte Erkennung ist ein wichtiger Schritt zum Schutz Ihres Unternehmens vor Ransomware. Es ist jedoch ebenso wichtig, solche Bedingungen zu schaffen, dass selbst wenn die Ransomware für die Ersterkennung unbemerkt bleibt, ihr Schaden minimal ist. Unternehmen können dies tun, indem sie die von ihnen bereitgestellten Daten minimieren. Daher ist die Datenmenge, die verschlüsselt oder gestohlen werden kann, begrenzt.
Wenn Sie den Verdacht haben, Opfer von Netwalker Ransomware zu sein, suchen Sie nach allen Dateizugriffen und Änderungen, die ein Benutzer über einen bestimmten Zeitraum vorgenommen hat, um die betroffenen Dateien zu lokalisieren und die richtigen Versionen wiederherzustellen. Sie können sich auch an den Varonis Incident Response Service wenden. Wir helfen Ihnen bei der kostenlosen Untersuchung des Vorfalls.