Alles, was Sie über NetWalker Ransomware wissen müssen

Eskere Guru

Netwalker ist eine Ransomware, die auf Windows-basierte Systeme abzielt.

Das erste Mal im August 2019 entdeckt, entwickelte es sich im weiteren Verlauf des Jahres 2019 und bis 2020. Während des Höhepunkts der Covid-19-Pandemie stellte das FBI signifikante Spitzen bei gezielten NetWalker-Angriffen fest.

Hier ist, was Sie über die Ransomware wissen müssen, die große Schulen, Gesundheitssysteme und Regierungsinstitutionen in den USA und in Europa angegriffen hat.

Was ist NetWalker Ransomware?

Netwalker, früher Mailto genannt, ist eine hoch entwickelte Art von Ransomware, die alle kritischen Dateien, Anwendungen und Datenbanken durch Verschlüsselung unzugänglich macht. Die dahinter stehende Gruppe verlangt die Zahlung von Kryptowährung im Austausch für die Datenwiederherstellung und droht, die sensiblen Daten des Opfers in einem "Leckportal" zu veröffentlichen, wenn Lösegeld nicht gezahlt wird.

Es ist bekannt, dass die Gruppe gezielte Kampagnen gegen große Organisationen startet, hauptsächlich mithilfe von E-Mail-Phishing, das an Einstiegspunkte gesendet wird, um Netzwerke zu infiltrieren.

Frühere Beispiele vergifteter E-Mails verwendeten die Coronavirus-Pandemie als Lockmittel, um Opfer dazu zu bringen, auf schädliche Links zu klicken oder infizierte Dateien herunterzuladen. Sobald ein Computer infiziert wurde, verbreitet er sich und gefährdet alle angeschlossenen Windows-Geräte.

Abgesehen von der Verbreitung durch Spam-E-Mails kann sich diese Ransomware auch als beliebte Passwortverwaltungs-App tarnen. Sobald Benutzer die gefälschte Version der App ausführen, werden ihre Dateien verschlüsselt.

Wie Dharma, Sodinokibi und andere schändliche Ransomware-Varianten verwenden NetWalker-Betreiber das Ransomware-as-a-Service-Modell (RaaS).

Was ist Ransomware-As-A-Service?

Ransomware-as-a-Service ist der Ableger der Cyberkriminalität des beliebten SaaS-Geschäftsmodells (Software-as-a-Service), bei dem Software, die zentral in der Cloud-Infrastruktur gehostet wird, im Abonnement an Kunden verkauft oder vermietet wird.

Beim Verkauf von Ransomware als Service handelt es sich jedoch um Malware, mit der schändliche Angriffe gestartet werden sollen. Anstelle von Kunden suchen die Entwickler dieser Ransomware nach "verbundenen Unternehmen", von denen erwartet wird, dass sie die Verbreitung der Ransomware erleichtern.

Verwandte: Ransomware-as-a-Service wird allen Chaos bringen

Wenn der Angriff erfolgreich ist, wird das Lösegeld zwischen dem Entwickler der Ransomware und dem Partner aufgeteilt, der die vorgefertigte Ransomware verteilt hat. Diese Partner erhalten normalerweise etwa 70 bis 80 Prozent des Lösegeldes. Es ist ein relativ neues und lukratives Geschäftsmodell für kriminelle Gruppen.

Wie NetWalker das RaaS-Modell verwendet

Die NetWalker-Gruppe rekrutiert aktiv "Partner" in dunklen Webforen und bietet die Tools und die Infrastruktur Cyberkriminellen an, die bereits Erfahrung mit der Infiltration großer Netzwerke haben. Laut einem Bericht von McAfee sucht die Gruppe nach russischsprachigen Partnern und solchen, die bereits im Netzwerk eines potenziellen Opfers Fuß fassen.

Sie priorisieren Qualität vor Quantität und haben nur begrenzte Zeitnischen für Partner. Sie stellen die Rekrutierung ein, sobald diese besetzt sind, und werben erst wieder über die Foren, wenn ein Slot geöffnet ist.

Wie hat sich die NetWalker Ransom Note entwickelt?

Frühere Versionen des NetWalker-Lösegeldscheins hatten, ähnlich wie die meisten anderen Lösegeldscheine, einen Abschnitt "Kontakt", in dem anonyme E-Mail-Kontodienste verwendet wurden. Die Opfer würden sich dann mit der Gruppe in Verbindung setzen und die Zahlung dadurch erleichtern.

Die viel ausgefeiltere Version, die die Gruppe seit März 2020 verwendet, hat die E-Mail verworfen und durch ein System mit der NetWalker Tor-Oberfläche ersetzt.

Benutzer werden aufgefordert, den Tor-Browser herunterzuladen und zu installieren, und erhalten einen persönlichen Code. Nach dem Absenden des Schlüssels über das Online-Formular wird das Opfer an einen Chat-Messenger weitergeleitet, um mit dem "technischen Support" von NetWalker zu sprechen.

Wie bezahlen Sie NetWalker?

Das NetWalker-System ist ähnlich wie die Unternehmen organisiert, auf die sie abzielen. Sie stellen sogar eine detaillierte Rechnung aus, die den Status des Kontos enthält, dh "Warten auf Zahlung", den Betrag, der abgerechnet werden muss, und die Zeit, die ihnen noch zur Abrechnung verbleibt.

Alles, was Sie über NetWalker Ransomware wissen müssen - NetWalker Invoice

Berichten zufolge haben die Opfer eine Woche Zeit, um zu zahlen. Danach verdoppelt sich der Preis für die Entschlüsselung – oder vertrauliche Daten werden aufgrund von Nichtzahlung vor Ablauf der Frist verloren. Sobald die Zahlung erfolgt ist, wird das Opfer auf eine Download-Seite für das Entschlüsselungsprogramm geleitet.

Das Entschlüsselungsprogramm scheint eindeutig zu sein und dient dazu, nur die Dateien des bestimmten Benutzers zu entschlüsseln, der die Zahlung getätigt hat. Deshalb erhält jedes Opfer einen eindeutigen Schlüssel.

Hochkarätige NetWalker-Opfer

Die Bande hinter NetWalker wurde mit einer Flut von Angriffen auf verschiedene Bildungs-, Regierungs- und Geschäftsorganisationen in Verbindung gebracht.

Zu den bekanntesten Opfern zählen die Michigan State University (MSU), das Columbia College of Chicago und die University of California in San Francisco (UCSF). Letzterer zahlte offenbar ein Lösegeld in Höhe von 1,14 Millionen US-Dollar als Gegenleistung für ein Tool zum Entsperren der verschlüsselten Daten.

Zu den weiteren Opfern gehört die Stadt Weiz in Österreich. Während dieses Angriffs wurde das öffentliche Dienstsystem der Stadt gefährdet. Einige ihrer Daten aus Bauinspektionen und Anwendungen wurden ebenfalls durchgesickert.

Gesundheitseinrichtungen wurden nicht verschont: Berichten zufolge zielte die Bande auf den Champaign Urbana Public Health District (CHUPD) in Illinois, das College of Nurses in Ontario (CNO) in Kanada und das Universitätsklinikum Düsseldorf (UKD) in Deutschland.

Es wird angenommen, dass der Angriff auf Letzteres einen Todesfall verursacht hat, nachdem der Patient gezwungen war, in ein anderes Krankenhaus zu gehen, als die Rettungsdienste in Düsseldorf betroffen waren.

So schützen Sie Ihre Daten vor NetWalker-Angriffen

Seien Sie vorsichtig bei E-Mails und Nachrichten, in denen Sie aufgefordert werden, auf Links zu klicken oder Dateien herunterzuladen. Anstatt sofort auf den Link zu klicken, bewegen Sie den Mauszeiger darüber, um die gesamte URL zu überprüfen, die am unteren Rand Ihres Browsers angezeigt werden soll. Klicken Sie erst dann auf E-Mail-Links, wenn Sie sicher sind, dass diese echt sind. Dies kann bedeuten, dass Sie den Absender auf einem separaten System kontaktieren, um dies zu überprüfen.

Sie müssen auch vermeiden, gefälschte Apps herunterzuladen .

Stellen Sie sicher, dass zuverlässige Antiviren- und Anti-Malware-Programme installiert sind, die regelmäßig aktualisiert werden. Diese können häufig Phishing-Links in E-Mails erkennen. Installieren Sie Software-Patches sofort, da diese Schwachstellen beheben sollen, die Cyberkriminelle häufig ausnutzen.

Sie müssen auch die Zugriffspunkte Ihres Netzwerks mit sicheren Kennwörtern schützen und die Multi-Faktor-Authentifizierung (MFA) verwenden, um den Zugriff auf das Netzwerk, andere Computer und Dienste in Ihrem Unternehmen zu schützen. Regelmäßige Backups sind ebenfalls eine gute Idee.

Sollten Sie sich über NetWalker Sorgen machen?

NetWalker richtet sich zwar noch nicht an einzelne Endbenutzer, kann Sie jedoch als Gateway verwenden, um die Netzwerke Ihres Unternehmens durch Phishing-E-Mails und schädliche Dateien oder infizierte gefälschte Apps zu infiltrieren.

Ransomware ist eine beängstigende Sache, aber Sie können sich schützen, indem Sie vernünftige Vorsichtsmaßnahmen treffen, wachsam bleiben und