Clever Geek Handbook

Tout ce que vous devez savoir sur le ransomware Netwalker





La cybercriminalité a connu une croissance exponentielle en 2020: les ransomwares Emotet, Trickbot, Maze, Ryuk et maintenant Netwalker sont devenus un problème sérieux dans toutes les industries, grandes et petites, publiques et privées, et il n'y a aucune raison de croire que cette tendance va diminuer.



En 2019, les cybercriminels ont extorqué environ 11,5 milliards de dollars à leurs victimes . À titre de comparaison, en 2018, ce chiffre était de 8 milliards. Les experts estiment que les pertes dues aux attaques de ransomwares augmenteront de près de 100% d'ici 2021 pour atteindre 20 milliards de dollars. Depuis ses premières attaques en mars 2020, Netwalker, également connu sous le nom de Mailto, a permis aux attaquants de rançonner plus de 30 millions de dollars.



Qu'est-ce que le ransomware Netwalker?



Netwalker est un programme de ransomware à croissance rapide créé en 2019 par un groupe cybercriminel connu sous le nom de Circus Spider. Circus Spider est l'un des nouveaux membres du plus grand groupe Mummy Spider . À première vue, Netwalker agit comme la plupart des autres types de ransomwares: il s'infiltre dans le système par le biais d'e-mails de phishing, extrait et crypte les données sensibles, puis les retient contre rançon.



Hélas, Netwalker est capable de plus que de garder en otage les données capturées. Pour démontrer sa gravité, Circus Spider publie un échantillon des données volées sur Internet, indiquant que si la victime ne se conforme pas à ses exigences à temps, le reste des données ira sur le darknet. Circus Spider publie des données sensibles sur les victimes sur le darknet dans un dossier protégé par mot de passe et publie le mot de passe sur Internet.



Netwalker ransomware utilise le modèle de ransomware en tant que service (RaaS).

En mars 2020, les membres de Circus Spider ont décidé de faire de Netwalker un nom familier. Ils ont élargi leur réseau d'affiliation de la même manière que le groupe de criminels derrière Maze. Migration de Ransomware-as-a-Service (RaaS)leur a permis de se développer considérablement, de cibler davantage d'organisations et d'augmenter les rachats qu'ils ont reçus.



Le modèle RaaS comprend le recrutement d'assistants pour aider à l'exécution des plans criminels. Comme mentionné ci-dessus, Netwalker commençait à gagner du terrain et avait déjà obtenu un certain nombre de gros résultats. Cependant, par rapport à d'autres grands groupes de ransomwares, ils sont restés petits ... jusqu'à ce qu'ils passent au modèle RaaS .



Pour gagner «l'honneur» de rejoindre leur petit groupe criminel, les Circus Spider ont affiché un ensemble spécifique de critères requis - une sorte de vacance criminelle, si vous voulez.



Leurs principaux critères lors du choix des «assistants»:



  • expérience du réseautage;
  • maîtrise du russe (ils n'acceptent pas les anglophones);
  • ils n'éduquent pas les utilisateurs inexpérimentés;
  • avoir un accès constant à des objectifs qui sont importants pour eux;
  • preuve d'expérience.


Pour attirer autant de supporters potentiels que possible, Circus Spider a publié une liste d'opportunités auxquelles leurs nouveaux partenaires auront accès.



Ils incluent:



  • panneau de discussion TOR entièrement automatique;
  • droits d'observateur;
  • prise en charge de tous les appareils Windows à partir de Windows 2000;
  • bloqueur multithread rapide;
  • paramètres de blocage rapides et flexibles;
  • accès aux processus de déverrouillage;
  • cryptage du réseau adjacent;
  • Assemblages PowerShell uniques pour faciliter le travail avec un logiciel antivirus;
  • paiements instantanés.






Qui et quel est le ciblage du ransomware Netwalker?



Depuis le premier résultat majeur en mars 2020, il y a eu une augmentation des attaques de ransomwares Netwalker. Tout d'abord, ses objectifs étaient les établissements de santé et d'enseignement. Ils ont mené l'une de leurs campagnes les plus publiées contre une grande universitéspécialisé dans la recherche médicale. Le ransomware a volé les données confidentielles de cette université et pour montrer qu'elles étaient graves, les attaquants ont rendu public un échantillon des données volées. Ces données comprenaient des applications d'étudiants contenant des informations telles que les numéros de sécurité sociale et d'autres données sensibles. Cette violation a conduit l'université à payer aux attaquants une rançon de 1,14 million de dollars pour déchiffrer leurs données.



Les attaquants derrière Netwalker ont fait une tentative sérieuse de capitaliser sur le chaos de l'épidémie de coronavirus. Ils ont envoyé des e-mails de phishing sur la pandémie, ciblant les établissements de santé déjà submergés par les personnes touchées par la pandémie. Le site est l'un des premiers Les victimes des soins de santé ont été bloquées par les ransomwares au moment même où les gens ont commencé à se tourner vers eux pour obtenir des conseils pendant la pandémie. Cette attaque les a forcés à lancer un deuxième site et à diriger les utilisateurs vers un nouveau, provoquant inquiétude et confusion parmi toutes les personnes impliquées. Tout au long de l'année, Netwalker et d'autres groupes de ransomwares ont continué d'attaquer les établissements de santé , profitant de leur manque de concentration sur la sécurité.



En plus des soins de santé et de l'éducation, Netwalker attaque des organisations dans d'autres secteurs, notamment:



  • production;
  • gestion d'entreprise;
  • gestion de l'expérience client et de la qualité de service;
  • véhicules électriques et solutions de stockage d'électricité;
  • éducation;
  • et plein d'autres.


Comment fonctionne Netwalker?







Étape 1: phishing et infiltration



Netwalker s'appuie fortement sur le phishing et le spear phishing comme méthodes d'infiltration . Par rapport aux autres ransomwares, les e-mails de phishing de Netwalker sont fréquents. Ces e-mails semblent légitimes et induisent facilement les victimes en erreur. En règle générale, Netwalker attache un script VBS nommé CORONAVIRUS_COVID-19.vbs qui lance le ransomware si le destinataire ouvre un document texte joint avec un script malveillant.







Étape 2: exfiltrer et crypter les données



Si le script s'ouvre et s'exécute sur votre système, Netwalker a commencé à s'infiltrer dans votre réseau. À partir de ce moment, le compte à rebours avant le chiffrement commence. Une fois sur le système, le ransomware devient un processus sans méfiance, généralement sous la forme d'un exécutable Microsoft. Pour ce faire, il supprime le code de l'exécutable et y injecte son propre code malveillant pour accéder à process.exe. Cette méthode est connue sous le nom de Process Hollowing . Cela donne au ransomware la possibilité de rester en ligne assez longtemps pour extraire et crypter les données, supprimer les sauvegardes et créer des failles au cas où quelqu'un remarque que quelque chose ne va pas.



Étape 3: extorsion et récupération (ou perte) de données



Une fois que le Netwalker a fini d'exfiltrer et de crypter les données, la victime découvre que les données ont été volées et trouve une note de rançon. La note de rançon de Netwalker est relativement standard: elle explique ce qui s'est passé et ce que l'utilisateur doit faire s'il veut récupérer ses données saines et sauves. Le Circus Spider nécessitera alors une certaine somme d'argent pour payer en Bitcoin en utilisant le portail du navigateur TOR.





( Source )



Une fois que la victime satisfait aux exigences, elle a accès à son outil de décryptage individuel et peut décrypter ses données en toute sécurité.

Si la victime ne se conforme pas aux exigences à temps, les attaquants augmenteront la rançon ou publieront tout ou partie des données volées sur le darknet.



Vous trouverez ci-dessous un diagramme d'un chemin d'attaque spécifique de Netwalker.





( Source )



Conseils pour se protéger contre le ransomware Netwalker



Le Netwalker est de plus en plus sophistiqué et plus difficile à défendre. Ceci est principalement dû à la croissance de leur réseau d '«assistants».



Nous recommandons les procédures d'atténuation simples suivantes:



  • Sauvegardez les données importantes sur le stockage de données local;
  • S'assurer que les copies des données critiques sont stockées dans le cloud, sur un disque dur externe ou un périphérique de stockage;
  • , , ;
  • ;
  • Wi-Fi. VPN;
  • ;
  • , . Netwalker, -, , , , .


Bien que ces procédures aident à atténuer les dommages causés par le ransomware après avoir infecté votre système, elles ne font qu'atténuer les dommages. L'exécution de ces procédures de manière proactive aidera à prévenir la propagation et à atténuer les dommages causés par les ransomwares après leur entrée dans votre système. Informer et former les collaborateurs aux bases de la sécurité de l'information sera un outil puissant dans la lutte contre Netwalker.



Ne tombez pas dans les trucs de phishing



Étant donné que Netwalker infecte principalement les systèmes en envoyant des e-mails de phishing contenant des liens malveillants et des fichiers exécutables, il est indispensable d'informer votre organisation des dangers des e-mails de phishing et des éléments à surveiller pour filtrer les e-mails suspects pour protéger vos données sensibles.



Une formation régulière obligatoire sur les bases de la sécurité de l'information est un excellent outil de prévention qui peut aider votre organisation à identifier les signes d'e-mails malveillants. Voici ce qu'il faut rechercher chaque fois que vous recevez un e-mail vous demandant de cliquer sur un lien, de télécharger un fichier ou de partager vos informations d'identification:



  • vérifiez soigneusement le nom et le domaine à partir desquels l'e-mail est envoyé;
  • vérifier les fautes d'orthographe évidentes dans le sujet et le corps du message;
  • ne fournissez pas vos informations d'identification - les expéditeurs légitimes ne les demanderont jamais;
  • n'ouvrez pas les pièces jointes et ne téléchargez pas de liens suspects;
  • signalez les e-mails suspects à votre équipe de sécurité des informations.


Nous vous recommandons également d'exécuter des attaques simulées . L'envoi de faux e-mails de phishing aux personnes de votre organisation est un excellent moyen d'évaluer l'efficacité de votre formation à la sécurité et de déterminer qui pourrait avoir besoin de plus d'aide pour cela. Suivez les métriques d'engagement des utilisateurs pour voir qui interagit avec des liens ou des pièces jointes, émet ses informations d'identification ou le signale au service responsable de votre organisation.



Utiliser des systèmes de détection des menaces basés sur l'analyse comportementale



Entraîner votre organisation à reconnaître et à répondre aux attaques de phishing associées aux ransomwares est d'une grande aide pour protéger vos données sensibles. Cependant, une détection précoce des menaces basée sur l'analyse comportementale aidera à limiter votre vulnérabilité aux effets destructeurs des ransomwares.



Si un compte utilisateur compromis commence à accéder à des données sensibles, la détection des menaces comportementales vous reconnaîtra immédiatement et vous en informera. Par exemple, Varonis utilise plusieurs comportements pour savoir comment certains utilisateurs accèdent généralement aux données. Cela vous permet de déterminer quand la nature de l'accès des utilisateurs aux données ou la quantité de données commence à différer de la normale. Varonis fait la distinction entre les actions manuelles et automatiques et intercepte si l'utilisateur commence à déplacer ou à crypter des fichiers de manière inhabituelle, arrêtant le ransomware dès le début. Beaucoup de nos clients automatisent la réponse à ce comportement en déconnectant leur compte et en mettant fin aux connexions actives.



Il est également important de surveiller en permanence l'activité du système de fichiers afin de reconnaître à temps quand le ransomware enregistre des outils d'infiltration connus sur le disque (une tactique courante de Netwalker ), ou lorsqu'un utilisateur recherche des fichiers partagés avec des mots de passe ou d'autres données sensibles.



Tout compte utilisateur a généralement accès à beaucoup plus de données que nécessaire, de sorte que ces recherches sont souvent fructueuses. Lisez ci-dessous comment atténuer ces risques.







Passer au modèle Zero Trust



Une détection correcte est une étape importante dans la protection de votre organisation contre les ransomwares. Cependant, il est tout aussi important de créer des conditions telles que même si le ransomware passe inaperçu pour la détection initiale, ses dommages seront minimes. Les organisations peuvent le faire en minimisant les données qu'elles exposent. Ainsi, la quantité de données pouvant être cryptées ou volées sera limitée.



Si vous pensez être victime du rançongiciel Netwalker, recherchez tous les accès aux fichiers et les modifications apportées par n'importe quel utilisateur sur une période de temps quelconque pour identifier les fichiers affectés et restaurer les versions correctes. Vous pouvez également contacter le service de réponse aux incidents de Varonis et nous vous aiderons à enquêter gratuitement sur l'incident.


More articles:


All Articles