Kriminalci koji stoje iza ransomwarea NetWalker samo od marta zaradili najmanje 29 miliona dolara

Opisi virusa, 25.08.2020, 11:00 AM

Kriminalci koji stoje iza ransomwarea NetWalker samo od marta zaradili najmanje 29 miliona dolara

Ransomware NetWalker pojavio se pre oko godinu dana, ali je tek ove godine postao ozbiljno ime u svetu sajber-kriminala, s obzirom da je od iznude "zaradio" oko 29 miliona dolara i to samo od marta ove godine. Međutim, stručnjaci za bezbednost iz kompanije McAfee koji su objavili analizu malvera smatraju da je kriminalna grupa koja stoji iz ransomwarea mogla zaraditi i više, pošto nemaju kompletan uvid u njihove transakcije.

NetWalker je prvi put primećen u avgustu 2019. godine, a njegova prva verzija pojavila se pod imenom Mailto, ali je do kraja 2019. ransomware preimenovan u NetWalker. NetWalker je počeo da se intenzivno koristi od marta ove godine, pokazala je analiza kompanije McAfee. Porast broja infekcija se poklopio sa implementacijom modela ransomware-as-a-service (RaaS), koji privlači tehnički napredne kriminalne grupe.

Ransomware funkcioniše kao RaaS sa zatvorenim pristupom, kao portal ransomware-as-a-service. Hakerske grupe prijavljuju se i prolaze kroz postupak provere, nakon čega im je omogućen pristup veb portalu na kojem mogu napraviti prilagođene verzije softvera. Distribucija je prepuštena tim grupama, i svaka grupa koristi ransomware na način koji smatra prikladnim.

„NetWalker RaaS daje prednost kvalitetu pre nego količini i traži ljude koji govore ruski jezik i imaju iskustva sa velikim mrežama“, kaže se u analizi. „Posebno se traže ljudi koji već imaju uporište u mreži potencijalnih žrtava i koji lako mogu izvući podatke. Ovo nije iznenađujuće s obzirom da je objavljivanje podataka žrtava deo NetWalkerovog (poslovnog) modela.”

NetWalker je uglavnom korišćen za napade na velike kompanije i institucije, u Evropi i Severnoj Americi. Neke od njegovih žrtava su transportna kompanija Toll Group, Univerzitet Kalifornije, San Francisco a nedavno je napadnuta i jedna francuska kompanija koja proizvodi pametne baterije. Takođe, nedavno je američki FBI upozorio da oni koji stoje iza NetWalkera sada ciljaju državne institucije u SAD, ali i u drugim državama.

Razlog zašto se prednost daje većim kompanijama je to što su otkupnine u tom slučaju veće, jer veće kompanije gube više u poređenju sa manjim, i spremne su i da plate više.

Čini se da mnoge žrtve plaćaju - McAfee je otkrio veliku količinu bitkoina povezanih sa NetWalkerom, što ukazuje da su pokušaji iznude efikasni i da mnoge žrtve nisu imale drugu opciju do da se povinuju zahtevima kriminalaca.

U martu je grupa koja distribuira ransomware napravila promene u marketinškom pristupu, posle čega je počeo njegov uspon.

Neko ko koristi pseudonim “Bugatti”, u to vreme počeo je da reklamira NetWalker RaaS, a istraživači pretpostavljaju da je, s obzirom na reputaciju NetWalkera, u pitanju neko ko je iskusan i cenjen sajber-kriminalac. On je takođe veoma aktivan, “redovno izveštava o poboljšanjima ransomwarea, poput popularne metode Invoke-ReflectivePEInjection, koju obično koristi (ransomware) Sodinokibi", rekli su istraživači. Bugatti naglašava da prvenstveno traže iskusne saradnike koji su zainteresovani za kompromitovanje kompletnih mreža organizacija, a ne za krajnje korisnike. NetWalker jasno ide stopama slavnih prethodnika poput Sodinokibija (REvil), ransomwarea Maze i Ryuk, kažu u kompaniji McAfee.

Stručnjaci kažu da NetWalker napada koristeći slabosti u Oracle WebLogic i Apache Tomcat serverima, ulazeći u mreže preko krajnjih tačaka RDP-a sa slabim lozinkama, ili prevarom zaposlenih (spear fišing) u velikim kompanijama. Ali prema upozorenju FBI, grupa je nedavno uključila i exploite za Pulse Secure VPN servere (CVE-201911510) i exploite za veb aplikacije koje koriste Telerik UI komponentu (CVE-2019-18935).

Sa više od 25 miliona dolara zarađenih od iznude, popularnost NetWalkera postaće još veća.

A jedan od razloga zašto je NetWalker toliko popularan je i veb sajt na kome grupa objavljuje imena i podatke žrtava koje odbijaju da plate otkupninu.

Kada NetWalker kompromituje mrežu, oni najpre kradu podatke kompanije, a zatim šifriraju fajlove. Ako žrtva odbije da plati za dešifrovanje fajlova tokom početnih pregovora, grupa kreira unos na njihovom veb sajtu koji ima tajmer, a ako žrtva i dalje odbija da plati, grupa objavljuje fajlove koje je ukrala iz mreže žrtve. Sajt pomaže NetWalkeru da izvrši dodatni pritisak na žrtve, jer se mnogi plaše da će njihovo intelektualno vlasništvo ili osetljivi korisnički podaci završiti na internetu, dok se drugi boje da će njihovo ime biti u medijima, a mnoge kompanije će platiti samo da se njihovo ime ne pojavi u medijima u tom kontekstu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver za špijuniranje Gravity RAT koji je ranije inficirao samo Windows, sada inficira i Android i macOS

Malver za špijuniranje Gravity RAT koji je ranije inficirao samo Windows, sada inficira i Android i macOS

GravityRAT, malver koji je poznat po tome što proverava temperaturu procesora na Windows računarima da bi otkrio virtuelne mašine ili sandbox, sada... Dalje

Malver IPStorm više nije pretnja samo korisnicima Windowsa, sada inficira i pametne televizore

Malver IPStorm više nije pretnja samo korisnicima Windowsa, sada inficira i pametne televizore

Malver IPStorm (InterPlanetary Storm) koji je prvi put primećen u maju prošle godine u napadima na Windows sisteme, evoluirao je i sada inficira i d... Dalje

Bankarski trojanac Qbot se vratio sa novom taktikom i sada krade vaše emailove da bi došao do vašeg novca

Bankarski trojanac Qbot se vratio sa novom taktikom i sada krade vaše emailove da bi došao do vašeg novca

Ozloglašeni bankarski trojanac koji je krao lozinke za bankovne račune i druge finansijske informacije, sada se vratio sa novim trikovima u rukavu s... Dalje

Kriminalci koji stoje iza ransomwarea NetWalker samo od marta zaradili najmanje 29 miliona dolara

Kriminalci koji stoje iza ransomwarea NetWalker samo od marta zaradili najmanje 29 miliona dolara

Ransomware NetWalker pojavio se pre oko godinu dana, ali je tek ove godine postao ozbiljno ime u svetu sajber-kriminala, s obzirom da je od iznude "za... Dalje

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje