Kriminalci koji stoje iza ransomwarea NetWalker samo od marta zaradili najmanje 29 miliona dolara

Opisi virusa, 25.08.2020, 11:00 AM

Ransomware NetWalker pojavio se pre oko godinu dana, ali je tek ove godine postao ozbiljno ime u svetu sajber-kriminala, s obzirom da je od iznude "zaradio" oko 29 miliona dolara i to samo od marta ove godine. Međutim, stručnjaci za bezbednost iz kompanije McAfee koji su objavili analizu malvera smatraju da je kriminalna grupa koja stoji iz ransomwarea mogla zaraditi i više, pošto nemaju kompletan uvid u njihove transakcije.

NetWalker je prvi put primećen u avgustu 2019. godine, a njegova prva verzija pojavila se pod imenom Mailto, ali je do kraja 2019. ransomware preimenovan u NetWalker. NetWalker je počeo da se intenzivno koristi od marta ove godine, pokazala je analiza kompanije McAfee. Porast broja infekcija se poklopio sa implementacijom modela ransomware-as-a-service (RaaS), koji privlači tehnički napredne kriminalne grupe.

Ransomware funkcioniše kao RaaS sa zatvorenim pristupom, kao portal ransomware-as-a-service. Hakerske grupe prijavljuju se i prolaze kroz postupak provere, nakon čega im je omogućen pristup veb portalu na kojem mogu napraviti prilagođene verzije softvera. Distribucija je prepuštena tim grupama, i svaka grupa koristi ransomware na način koji smatra prikladnim.

„NetWalker RaaS daje prednost kvalitetu pre nego količini i traži ljude koji govore ruski jezik i imaju iskustva sa velikim mrežama“, kaže se u analizi. „Posebno se traže ljudi koji već imaju uporište u mreži potencijalnih žrtava i koji lako mogu izvući podatke. Ovo nije iznenađujuće s obzirom da je objavljivanje podataka žrtava deo NetWalkerovog (poslovnog) modela.”

NetWalker je uglavnom korišćen za napade na velike kompanije i institucije, u Evropi i Severnoj Americi. Neke od njegovih žrtava su transportna kompanija Toll Group, Univerzitet Kalifornije, San Francisco a nedavno je napadnuta i jedna francuska kompanija koja proizvodi pametne baterije. Takođe, nedavno je američki FBI upozorio da oni koji stoje iza NetWalkera sada ciljaju državne institucije u SAD, ali i u drugim državama.

Razlog zašto se prednost daje većim kompanijama je to što su otkupnine u tom slučaju veće, jer veće kompanije gube više u poređenju sa manjim, i spremne su i da plate više.

Čini se da mnoge žrtve plaćaju - McAfee je otkrio veliku količinu bitkoina povezanih sa NetWalkerom, što ukazuje da su pokušaji iznude efikasni i da mnoge žrtve nisu imale drugu opciju do da se povinuju zahtevima kriminalaca.

U martu je grupa koja distribuira ransomware napravila promene u marketinškom pristupu, posle čega je počeo njegov uspon.

Neko ko koristi pseudonim “Bugatti”, u to vreme počeo je da reklamira NetWalker RaaS, a istraživači pretpostavljaju da je, s obzirom na reputaciju NetWalkera, u pitanju neko ko je iskusan i cenjen sajber-kriminalac. On je takođe veoma aktivan, “redovno izveštava o poboljšanjima ransomwarea, poput popularne metode Invoke-ReflectivePEInjection, koju obično koristi (ransomware) Sodinokibi", rekli su istraživači. Bugatti naglašava da prvenstveno traže iskusne saradnike koji su zainteresovani za kompromitovanje kompletnih mreža organizacija, a ne za krajnje korisnike. NetWalker jasno ide stopama slavnih prethodnika poput Sodinokibija (REvil), ransomwarea Maze i Ryuk, kažu u kompaniji McAfee.

Stručnjaci kažu da NetWalker napada koristeći slabosti u Oracle WebLogic i Apache Tomcat serverima, ulazeći u mreže preko krajnjih tačaka RDP-a sa slabim lozinkama, ili prevarom zaposlenih (spear fišing) u velikim kompanijama. Ali prema upozorenju FBI, grupa je nedavno uključila i exploite za Pulse Secure VPN servere (CVE-201911510) i exploite za veb aplikacije koje koriste Telerik UI komponentu (CVE-2019-18935).

Sa više od 25 miliona dolara zarađenih od iznude, popularnost NetWalkera postaće još veća.

A jedan od razloga zašto je NetWalker toliko popularan je i veb sajt na kome grupa objavljuje imena i podatke žrtava koje odbijaju da plate otkupninu.

Kada NetWalker kompromituje mrežu, oni najpre kradu podatke kompanije, a zatim šifriraju fajlove. Ako žrtva odbije da plati za dešifrovanje fajlova tokom početnih pregovora, grupa kreira unos na njihovom veb sajtu koji ima tajmer, a ako žrtva i dalje odbija da plati, grupa objavljuje fajlove koje je ukrala iz mreže žrtve. Sajt pomaže NetWalkeru da izvrši dodatni pritisak na žrtve, jer se mnogi plaše da će njihovo intelektualno vlasništvo ili osetljivi korisnički podaci završiti na internetu, dok se drugi boje da će njihovo ime biti u medijima, a mnoge kompanije će platiti samo da se njihovo ime ne pojavi u medijima u tom kontekstu.