Netwalker - это ransomware, принадлежащее к семейству вредоносных программ, которые шифруют файлы и требуют от пользователей заплатить выкуп, чтобы получить свои данные обратно. Netwalker использует несколько сложных методов, таких как скрытие процессов и обфускация кода, для защиты корпоративных жертв.
Что такое Netwalker ransomware?
Netwalker, также называемый Mailto, представляет собой Ransomware - вредоносное ПО, которое шифрует файлы на зараженных устройствах и использует потерянную информацию в качестве рычага давления, чтобы заставить жертву заплатить выкуп в обмен на утраченный доступ к своим данным.
Хотя Netwalker является относительно новым вирусом, обнаруженным в августе 2019 года, он уже был замечен в успешных атаках на множество компаний. А на фоне пандемии коронавируса он начал использовать связанные с вирусом электронные письма, чтобы сыграть на естественных страхах и потенциально проникнуть в новые сети.
Общее описание Netwalker ransomware
Netwalker обычно нацелен на предприятия и корпоративные сегменты, проникая в корпоративную сеть и распространяясь на все подключенные ПК с Windows. Одной из первых кампаний, где было замечено это ransomware, стала атака на австралийскую компанию Toll Group, которая временно парализовала более 1000 конечных точек в феврале 2019 года.
С тех пор вредоносная программа продолжала оставаться активной, но изменила метод распространения, чтобы воспользоваться хаосом, вызванным пандемией COVID 19, активно используя фишинговые техники. Кроме того, Netwalker начал атаковать медицинские учреждения и учреждения здравоохранения, поскольку они потенциально наиболее уязвимы в связи с пандемией.
Netwalker ransomware считается очень опасным, поскольку в нем используются передовые механизмы защиты от обнаружения и персистенции. Более того, успешные атаки в прошлом заставили ФБР и Министерство внутренней безопасности США выпустить предупреждение об этой вредоносной программе.
Netwalker действительно обладает рядом передовых функций. Например, эксперты сообщают, что эта вредоносная программа использует технологию "углубления процесса", которая позволяет злоумышленникам запускать вредоносное ПО, маскируя его под легитимный процесс, "explorer.exe" в случае Netwalker. Таким образом, вредоносная программа не может быть обнаружена простым просмотром списка процессов, поскольку она не вызывает появления каких-либо подозрительных процессов.
Вредоносная программа также может копировать себя во вложенные папки "AppData" и использовать ключ реестра для автоматического запуска и выживания после перезагрузки системы, что позволяет ей сохраняться в зараженной системе.
Кроме того, Netwalker использует обфускацию кода, чтобы усложнить статический анализ образцов. Вредоносная программа кодирует все строки в своем исходном коде, чтобы аналитики не смогли легко прочитать ее код.
Следует также отметить, что после шифрования целевых файлов, в зависимости от версии, вредоносная программа может добавлять к именам файлов строку "mailto". Именно так было создано первое известное название этого Ransomware. Позже название было изменено, после того как исследователи проанализировали обнаруженный дешифратор и выяснили, что первоначальный создатель, скорее всего, называл программу "Netwalker".
Процесс выполнения Netwalker ransomware
В целом, процесс выполнения Netwalker мало чем отличается от других вымогательских программ, таких как Ryuk. Сначала Netwalker распространялся как исполняемый файл, но вскоре он начал использовать файлы сценариев, такие как VBS и Powershell. После того как вымогатель проникает в зараженную систему и запускается, начинается основная вредоносная деятельность. Как и многие другие семейства ransomware, Netwalker удаляет теневые копии. После завершения процесса шифрования эта программа-вымогатель часто останавливает свой процесс и удаляет себя. Как и другие вредоносные программы этого типа, она создает текстовый файл с запиской о выкупе и бросает его в каждый каталог, содержащий зашифрованные файлы. Файл с запиской о выкупе открывается на рабочем столе после завершения процесса шифрования. Кроме того, Netwalker использует технику "углубления процесса" для внедрения полезной нагрузки в 'explorer.exe'.
Распространение вредоносной программы Netwalker
Вредоносная программа использует несколько векторов атаки для проникновения в сети своих целей. Она может использовать почтовый спам, веб-инъекции, бот-сети, эксплойты, поддельные обновления программного обеспечения, зараженные программы установки и взломы, использующие небезопасные конфигурации RDP.
Например, он был замечен под видом реального программного продукта "Sticky Password". "Sticky Password" - это приложение для управления паролями, разработанное AVG Technologies - очень известным игроком в индустрии кибербезопасности.
Другой вектор атаки - использование VBS-скриптов, распространяемых через спам-рассылки, посвященные Coronavirus.
Заключение
Благодаря использованию передовых механизмов защиты от атак и вторжений Netwalker представляет собой серьезную угрозу кибербезопасности организаций. Это одно из тех вредоносных ПО, которое быстро начало использовать пандемию коронавируса в своих интересах, что может указывать на адаптивность кибербанды, стоящей за ним. Таким образом, мы можем быть уверены, что атаки Netwalker будут продолжаться и дальше.
Более того, обычно создание киберзащиты против вредоносных программ, использующих обфускацию кода, является не самой простой задачей, поскольку единственный способ узнать о вредоносной программе - это динамический анализ, требующий значительного времени и ресурсов.
В январе 2021 года правоохранительные органы США и Болгарии объединились в борьбе с NetWalker. Болгарские власти захватили домены в даркнете, используемые участниками вредоносного ПО. Они использовались для предоставления инструкций по выкупу и связи с жертвами.
Себастьену Вашон-Десжардину, гражданину Канады, были предъявлены обвинения в суде Флориды, который обвинил его в получении более 27,6 млн долларов США от заражения компаний с помощью NetWalker. 10 января властям удалось изъять 454 530,19 долларов в криптовалюте, которая состоит из платежей, сделанных жертвами вредоносного ПО.