Qu'est-ce que NetWalker Ransomware et comment s'en protéger ?
NetWalker est également connu sous le nom de Confus , Taille , et KazKavKovKiz . Il s'agit d'une suite de programmes bien structurés qui comprend évitement de détection . Il peut se propager autour d'un réseau
Le ransomware NetWalker infecte uniquement les ordinateurs exécutant Les fenêtres, et ses principales cibles sont les établissements médicaux et éducatifs. En plus de verrouiller les fichiers, ce système vole des données et les partage sur Web sombre , ce qui fait que les sujets de ces informations ciblent des attaques de logiciels malveillants supplémentaires provenant d'autres groupes de pirates.
Le rançongiciel NetWalker est un russe attaque de malware qui a touché plusieurs grands hôpitaux et universités. Ce ransomware est le produit d’un grand syndicat du crime, et l’équipe derrière lui a même fait de la publicité pour trouver des partenaires pour aider à propager le malware.
Les créateurs de NetWalker fonctionnent comme une entreprise et supervisent plusieurs divisions. Ces divisions se spécialisent dans des types spécifiques de logiciels malveillants. Chaque section du syndicat constitue son centre de profit, mais elle partage l'expertise en gestion de l'entreprise mère et partage éventuellement également un pool de programmeurs.
Qui a produit NetWalker ?
NetWalker, que certains écrivent sous le nom de NetWalker, est une propriété du groupe appelé Araignée de cirque . Il s'agit d'une division de Maman Araignée . L'ensemble du syndicat est basé en Russie et il existe d'autres partenaires dans l'organisation qui ont produit des ransomwares bien connus et différents types de logiciels malveillants. Mummy Spider a créé un réseau de cybercriminalité en 2014, en utilisant un cheval de Troie appelé L'émotion pour infecter de nombreux ordinateurs privés. Ces infections peuvent s’enregistrer auprès d’un serveur central de commande et de contrôle (C&C) pour obtenir des instructions. L'énorme armée d'ordinateurs infectés s'appelle un réseau de zombies .
L'expertise Mummy Spider a également créé Robot trompeur , un autre botnet, via son Araignée magicienne division. Une autre division, appelée Araignée sinistre , a utilisé le système Trickbot pour distribuer un ransomware appelé Ryûk . Ainsi, cette organisation possédait déjà une vaste expérience en matière de création de ransomwares lorsqu'elle a créé Circus Spider pour créer et gérer NetWalker en 2019.
Le conglomérat Mummy Spider conçoit ses logiciels malveillants pour ne pas attaquer les ordinateurs basés en Russie ou dans l'un des pays de l'ex-Union soviétique. L’organisation est connue pour créer des flux de revenus supplémentaires à partir de ses systèmes en les mettant à la disposition d’autres équipes de pirates informatiques moyennant des frais. C'est un Infrastructure en tant que Service concept, et il permet à d’autres équipes de hackers de lancer des attaques sans avoir à dépenser d’avance pour développer un mécanisme de livraison.
Ransomware en tant que service
Après avoir développé NetWalker en août 2019 et mené quelques attaques à partir de septembre 2019, l'équipe Circus Spider a décidé de rechercher des partenaires. En avril 2020, le groupe a mis à disposition son logiciel d'attaque dans un Ransomware en tant que service modèle. Cela permet à d'autres pirates d'accéder au logiciel sans avoir à distribuer le code : les programmes s'exécutent sur le serveur Circus Spider et les équipes de pirates clientes ont accès au système via une interface utilisateur.
Le concept Ransomware-as-a-Service imite le modèle commercial Software-as-a-Service (SaaS) utilisé par les producteurs de logiciels pour fournir services basés sur le cloud . Alors que les fournisseurs SaaS espèrent attirer de nombreux clients, Circus Spider n’en voulait que deux.
Le groupe a publié un prospectus sur le Dark Web et interviewé les candidats. Ils recherchaient spécifiquement affiliés avec des connaissances en technologie réseau, un pool de cibles établi, une preuve d'expérience et une stratégie d'attaque unique. Le groupe ne traiterait qu'avec des associés russophones.
Fonctionnalités annoncées de la plateforme RaaS incluses un panneau de discussion Tor pour une assistance technique anonyme, un casier multithread, une gamme d'options de cryptage, un traitement automatisé du paiement de la rançon, un module de déverrouillage, une infection latérale, des routines PowerShell pour bloquer les antivirus et paiements instantanés .
Le package du groupe Circus Spider traitait les paiements et versait une part à l’affilié dès réception d’une rançon. Une fonctionnalité de divulgation dans le portail permet aux affiliés de consulter les journaux des événements d'attaque pour s'assurer qu'ils ne sont pas trompés. part des paiements de rançon .
Comment démarre une attaque NetWalker ?
La nature des stratégies d'attaque de NetWalker a changé au fil du temps en raison de l'implication d'autres équipes pour identifier les cibles. Cependant, un secteur identifié comme riche en bonnes notes est celui Soins de santé industrie. Les créateurs ont principalement ciblé les employés des hôpitaux avec des courriels de phishing liés au COVID-19 [feminine épidémie.
Le programme d'installation de NetWalker est livré sous la forme une pièce-jointe à un e-mail. La pièce jointe est généralement un document Word et comprend VBScript qui déclenche le processus d'installation du ransomware NetWalker.
Une fois le ransomware installé sur un point final d’un réseau, il enverra un fichier exécutable à d’autres appareils. Ce programme s'appelle WTVConverter.exe . L'exécutable du ransomware se cache lors de son exécution à l'aide d'une procédure connue sous le nom de processus de creusement . Il démarre explorer.exe, un processus légitime, mais il démarre ce programme dans un état suspendu . Il remappe ensuite l'espace mémoire alloué à ce processus avec son code. Ainsi, le ransomware apparaîtra sous le nom explorer.exe dans le Gestionnaire des tâches.
Une fois le processus du ransomware exécuté, il déplace le fichier programme de son emplacement d'origine vers le AppDataRoaming annuaire. Il met également en place une clé de registre pour exécuter le programme au démarrage.
Le processus du ransomware tuera d’autres programmes spécifiques s’ils sont en cours d’exécution. Cela inclut les composants de productivité sur lesquels un fichier peut être ouvert, empêchant ainsi son écrasement. Le ransomware vise à chiffrer tous les fichiers de travail mais à laisser les fichiers de programme tranquilles.
Le processus de chiffrement NetWalker
Le chiffreur NetWalker a une phase préliminaire une fois qu'il a localisé les fichiers contenant des données. Il transferts vers l'extérieur fichiers avant de démarrer le cryptage. Cela fait partie d’une tendance inquiétante des ransomwares qui crée une double menace .
Les entreprises qui doivent se conformer aux normes de confidentialité des données subissent de lourdes amendes si des données sont divulguées. Ils peuvent également être poursuivi par les individus dont les informations ont été divulguées. Les organisations opérant dans le secteur de la santé sont particulièrement vulnérables à ce type de menace car elles doivent se conformer aux HIPAA pour rester en affaires. Cette norme exige la protection des informations sur les patients.
Le chiffreur supprimera également tous clichés instantanés de documents bureautiques. Il s'agit des copies enregistrées automatiquement et non des sauvegardes que vous créez. Vous devez disposer d'un processus de sauvegarde pour protéger vos données contre des incidents tels qu'une attaque de ransomware NetWalker. Si vous avez mis en place des mesures de sécurité et enregistrez une copie hors site, vous devriez être à l'abri de l'accès de NetWalker à vos magasins de sauvegarde.
Le chiffreur change le nom pour ajouter deux extensions supplémentaires, la première d'entre elles est lait, suivi d'une adresse e-mail entre crochets. L'adresse e-mail est généralement sur le domaine coq.li , même si ce n’est pas toujours la même adresse. La deuxième extension supplémentaire est une chaîne de cinq caractères. Ceci est le même sur tous les fichiers cryptés et fait partie du identifiant de l'attaque .
Le processus de cryptage utilise le Salsa20 chiffre, largement utilisé dans les ransomwares.
La rançon NetWalker
Lorsque le processus de cryptage se termine sur un disque, le ransomware laisse un fichier texte avec la demande de rançon . Cela demande à la victime de contacter l’une des deux adresses e-mail indiquées pour obtenir des instructions. La première de ces adresses est celle ajoutée au nom de chaque fichier crypté.
Le ransomware NetWalker accorde aux victimes un délai de grâce pour payer. Une fois cette période expirée, la rançon augmente et le compte à rebours est réinitialisé. Le système publiera certaines des données sur le Site Web de Circus Spider Dark Web . Ce site Web est également le portail auquel les victimes doivent accéder pour payer la rançon. Il comprend également un bulletin des victimes actuelles et combien de temps elles doivent payer.
Si la victime ne paie toujours pas, toutes ses données seront vendues à un autre groupe de hackers ou publiées sur le site Circus Spider. Pour les entreprises qui respectent les normes de confidentialité des données, les conséquences de cela divulgation pourrait être désastreux. Non seulement l’entreprise perdra de l’argent à cause des dossiers, mais elle perdra également la plupart de ses clients qui seront obligés de traiter uniquement avec des fournisseurs accrédités aux normes. Ainsi, la restauration à partir d'une sauvegarde et ignorer la demande de rançon n'est pas une option.
Se défendre contre le ransomware NetWalker
Le système NetWalker n'est pas actif actuellement. L'un des associés de l'équipe, un Canadien français, était arrêté en janvier 2021. Dans le même temps, les autorités américaines et bulgares ont mené une opération conjointe contre le site Internet Circus Spider. Démonter le site a supprimé la menace de divulgation de données, rendant ainsi la restauration à partir d'une sauvegarde une option viable . Cependant, l’équipe est toujours active, il n’y a donc aucune garantie que le ransomware NetWalker ne reviendra pas.
L’essentiel pour se défendre contre NetWalker et tous les ransomwares est d’éduquer votre communauté d’utilisateurs contre le fait de cliquer sur les liens dans les e-mails ou de télécharger des pièces jointes. Vous devez également acheter un logiciel de sécurité.
Outils de protection contre le ransomware NetWalker
Vous avez besoin de systèmes de sécurité qui mettent en œuvre détection et réponse des points finaux (EDR) et protéger les données sensibles pour garantir le respect des normes de confidentialité. Vous ne trouverez probablement pas la meilleure protection auprès d’un seul outil qui effectue toutes les tâches de protection. Cependant, avec une combinaison d'outils, vous pouvez à la fois vous défendre contre les ransomwares et fournir une deuxième ligne de défense qui clôtures les données sensibles que votre organisation détient.
Considérez les systèmes de sécurité suivants pour vous défendre contre le ransomware NetWalker.
1. CrowdStrike Falcon Insight (ESSAI GRATUIT)
Aperçu du faucon CrowdStrike est un système de détection et de réponse des points finaux (EDR) qui comprend un logiciel résident sur l'appareil et un coordinateur basé sur le cloud. Avoir une partie importante de ce système sur chaque point final garantit réponses rapides et maintient la protection même lorsque l'appareil est hors ligne.
Le coordinateur cloud peut traiter les rapports d'activité téléchargés par tous les agents de point de terminaison. Il reçoit également renseignement sur les menaces flux de CrowdStrike pour se tenir au courant des dernières stratégies d’attaque. Ces informations proviennent des analystes de CrowdStrike ainsi que des attaques subies par d'autres clients CrowdStrike.
Le système cloud met à jour chaque agent de point de terminaison avec les dernières informations et permet également à tous les agents d'être avertis si un appareil est touché.
L'agent de point de terminaison est également disponible en tant que produit autonome appelé CrowdStrike Falcon Empêcher . Ceci recherche activité suspecte plutôt que des noms de fichiers ou des processus spécifiques. Grâce à cette méthode, le service peut détecter et bloquer les logiciels malveillants que les consultants en cybersécurité n'ont pas encore identifiés. CrowdStrike gère un laboratoire de recherche sur les logiciels malveillants c'était l'un des principaux identifiants du ransomware NetWalker. Le système est entièrement équipé pour gérer NetWalker via des réponses automatisées.
Vous pouvez obtenir unEssai gratuit de 15 joursde Falcon Prevent.
CrowdStrike Falcon Prevent Start Essai GRATUIT de 15 jours
deux. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus se concentre sur la protection des données sensibles. Il convient aux entreprises qui doivent se conformer PCI DSS , HIPAA , et RGPD . Le progiciel est bien conçu pour protéger contre les aspects de vol de données du ransomware NetWalker et ses activités de cryptage.
La première tâche de DataSecurity Plus est de rechercher tous les magasins de données sensibles . Il analyse ensuite tous les fichiers de données et catégorise la sensibilité des informations qu’il contient. Cela vous permet de mettre en œuvre une stratégie qui ajoute une protection à des types spécifiques de données. Par exemple, les entreprises de soins de santé devront protéger les informations des patients. Cet outil ne concerne pas seulement la conformité aux normes. Il couvrira également la propriété intellectuelle et les secrets commerciaux.
Une fois les fichiers à protéger identifiés, DataSecurity Plus met en place un moniteur d'intégrité des fichiers (FIM) . Cela identifie les actions non autorisées sur les fichiers, et le cryptage effectué par les ransomwares entre dans cette catégorie.
Lorsqu'un problème survient, DataSecurity Plus soulèvera une alerte . Il est également possible de préciser que le système met en œuvre des réponses automatisées. Ces actions incluent l'arrêt des processus, la suppression des fichiers programme, l'isolation du périphérique du réseau et la restauration des fichiers à partir du stockage de sauvegarde.
DataSecurity Plus s'installe sur Serveur Windows et protège les points finaux exécutant Windows. Il est disponible pour un 30 jours d'essai gratuit .
