Zabezpiecz swoje dane. Nowy ransomware zarabia coraz więcej!

Zabezpiecz swoje dane. Nowy ransomware zarabia coraz więcej!

NetWalker (znany również jako Mailto) to nazwa nadana wyrafinowanej rodzinie oprogramowania ransomware Windows, które atakowało korporacyjne sieci komputerowe, szyfrując znalezione pliki i żądając zapłaty kryptowaluty w celu bezpiecznego odzyskania zaszyfrowanych danych.

RANSOMWARE NIE JEST NICZYM NOWYM. DLACZEGO POWINIENEM SZCZEGÓLNIE DBAĆ O NETWALKER


NetWalker, podobnie jak ransomware Maze i niewielka liczba innych rodzin ransomware, agresywnie grozi opublikowaniem danych ofiar w Internecie, jeśli okup nie zostanie zapłacony.

WIĘC NIE CHODZI TYLKO O SIĘGNIĘCIE PO KOPIĘ ZAPASOWĄ?


Cóż, to dobry początek. Jeśli Twoja kopia zapasowa jest aktualna i nie została naruszona przez atak, możesz przynajmniej odzyskać dane i mieć szansę na przywrócenie działania systemów. Oczywiście będziesz chciał upewnić się, że twoje systemy są odpowiednio zabezpieczone, a hakerzy nie utrzymywali dostępu do twoich systemów, ponieważ możliwe, że ponownie padniesz ofiarą. Pozostaje jednak problem eksfiltrowanych danych. Jeśli jest to udowodnione przez gang NetWalker, istnieją wyraźne zagrożenia - nie tylko dla Twojej firmy, ale także dla partnerów i klientów. Odbudowanie zaufania i reputacji firmy nie będzie prawdopodobnie łatwe ani niedrogie. Jest to gorsze niż zwykły atak ransomware.

PASKUDNY. W JAKI SPOSÓB W PIERWSZEJ KOLEJNOŚCI INFEKUJĄ TWÓJ SYSTEM KOMPUTEROWY?


Gang NetWalker nie wstydził się wykorzystywać pandemii COVID-19 do infekowania systemów komputerowych, wykorzystując zainteresowanie informacjami wśród ogólnej populacji, a także atakując osoby i podmioty działające w branży medycznej. Zatrute wiadomości e-mail wysyłane przez grupę udają, że są związane z kryzysem koronawirusa , ale gdy odbiorcy klikną załączony plik Word lub Excel, ich komputery są zagrożone. Ponadto oprogramowanie ransomware podszywało się pod legalną aplikację do zarządzania hasłami Sticky Password. Gdyby użytkownik uruchomił fałszywą wersję Sticky Password, jego pliki zaczęłyby być szyfrowane.

CZY TO WSZYSTKO?


Niestety nie. Gang NetWalker postrzega siebie w dużym stopniu jako „oprogramowanie ransomware-as-a-service” (RaaS), zapewniające innym narzędzia i infrastrukturę do przeprowadzania ataków ransomware w zamian za płatności partnerskie.

PARTNERZY?


Obawiam się że tak. Jak opisuje Advanced Intelligence , gang NetWalker publikuje na forach ciemnego rynku, zapraszając innych przestępców do zostania partnerami i pomocy w rozprzestrzenianiu oprogramowania ransomware. Preferowane są osoby z udokumentowanym doświadczeniem w cyberprzestępczości i istniejącym dostępem do sieci korporacyjnych.

REKRUTUJĄ OSOBY, KTÓRE WŁAMAŁY SIĘ JUŻ DO SIECI FIRMOWYCH?


Tak. Myślę, że myślenie jest następujące: „jeśli udało Ci się naruszyć firmową sieć i nie możesz wymyślić, jak zarobić na niej pieniądze - oto nasze oprogramowanie ransomware, baw się dobrze…”

Z PEWNOŚCIĄ WŁADZE BĘDĄ POLOWAĆ NA TYCH GOŚCI?


Jestem pewien, że niektórzy będą chcieli je złapać. Jednak gang NetWalker w szczególności zabrania podmiotom stowarzyszonym infekowania systemów należących do Rosji i WNP - prawdopodobnie w celu zapobieżenia zachęcaniu lokalnych organów ścigania do badania dochodowych działań hakerów.

CZY TO OZNACZA, ŻE ​​HAKERZY STOJĄCY ZA NETWALKER PRAWDOPODOBNIE POCHODZĄ Z TEJ CZĘŚCI ŚWIATA?


Podejrzewam, że istnieje duże prawdopodobieństwo.

JAKIE ORGANIZACJE UDAŁO SIĘ ZAINFEKOWAĆ NETWALKER?


Wśród ofiar znalazły się australijska firma transportowo-logistyczna Toll Group , dystrykt zdrowia publicznego Champaign Urbana (CHUPD) w Illinois, miasto Weiz w Austrii, a ostatnio Michigan State University .

WYGLĄDA NA TO, ŻE BYLI ZAJĘCI. JAK MOGĘ CHRONIĆ SWOJĄ FIRMĘ?


Należy nadal postępować zgodnie z najlepszymi praktykami - oznacza to tworzenie bezpiecznych kopii zapasowych poza siedzibą firmy, korzystanie z aktualnych rozwiązań zabezpieczających i upewnianie się, że na komputerach są prawidłowo zainstalowane najnowsze luki w zabezpieczeniach. Ponadto upewnij się, że używane hasła są unikalne i trudne do złamania, a uwierzytelnianie wieloskładnikowe utrudnia nieautoryzowanym użytkownikom uzyskanie dostępu do krytycznych systemów. Ponadto zwiększaj wśród swoich pracowników świadomość zagrożeń bezpieczeństwa i różnych sztuczek stosowanych przez cyberprzestępców w celu uzyskania dostępu do wrażliwych danych. A jeśli masz wrażliwe dane (zaufaj mi, masz), upewnij się, że w miarę możliwości są one silnie zaszyfrowane.

CZY NALEŻY PŁACIĆ OKUP ZA RANSOMWARE?


UCSF zapłacił ponad 1 milion dolarów po ataku ransomware zaszyfrował dane związane z „ważnymi” badaniami akademickimi na kilku serwerach. Uniwersytet Kalifornijski w San Francisco (UCSF) zapłacił okup w wysokości 1,14 miliona dolarów za odzyskanie danych związanych z „ważną” pracą naukową.

Dane zostały zaszyfrowane po tym, jak ransomware NetWalker podobno uderzył w szkołę medyczną UCSF. UCSF, który obejmuje szkołę medyczną i centrum medyczne (UCSF Medical Center), a także wydział dla absolwentów, jest wiodącą instytucją w badaniach biologicznych i medycznych.

Uniwersytet podał, że po raz pierwszy wykrył „incydent związany z bezpieczeństwem” w środowisku IT swojej szkoły medycznej 1 czerwca. Atakujący uruchomili szkodliwe oprogramowanie, które zaszyfrowało „ograniczoną liczbę” serwerów w szkole medycznej, uniemożliwiając dostęp do nich.

„Zaszyfrowane dane są ważne dla niektórych prac akademickich, które wykonujemy jako uniwersytet służący dobru publicznemu”

- powiedział uniwersytet w niedawnej aktualizacji zabezpieczeń.

„Dlatego podjęliśmy trudną decyzję o zapłaceniu części okupu, około 1,14 miliona dolarów, osobom odpowiedzialnym za atak złośliwego oprogramowania w zamian za narzędzie do odblokowania zaszyfrowanych danych i zwrotu uzyskanych danych”.

Threatpost skontaktował się z UCSF, aby uzyskać więcej informacji o tym, jak rozpoczął się cyberatak i czy otrzymali klucz odszyfrowywania, który działa.

Cyberatak nie wpłynął na operacje związane z opieką nad pacjentami na uniwersytecie, ogólną sieć kampusu ani pracę nad COVID-19. UCSF powiedział również, że „obecnie nie wierzą”, że dokumentacja medyczna pacjentów została ujawniona - ale kontynuuje swoje dochodzenie.

„Nasze dochodzenie jest w toku, ale w tej chwili uważamy, że złośliwe oprogramowanie szyfruje nasze serwery w sposób oportunistyczny, bez określonego obszaru, który jest celem”

- twierdzi UCSF.

„Atakujący uzyskali pewne dane jako dowód ich działania, aby wykorzystać je w żądaniu zapłaty okupu”.

NetWalker Ransomware Według raportu BBC za atakiem stoi oprogramowanie ransomware NetWalker. Ta rodzina ransomware, która stała za cyberatakiem na Toll Group , niedawno przeszła na model ransomware-as-a-service (RaaS), a jej operatorzy kładą duży nacisk na atakowanie i przyciąganie zaawansowanych technicznie podmiotów stowarzyszonych.

Sektor opieki zdrowotnej był głównym celem grupy ransomware, szczególnie podczas trwającej pandemii.

Grupa podobno stała za atakiem ransomware na stronę internetową Champaign-Urbana Public Health District w Illinois na początku 2020 roku.

Podczas cyberataku na UCSF operatorzy podobno wysłali uniwersytetowi wstępne żądanie okupu w wysokości 3 milionów dolarów, zauważając, że uniwersytet zarabiał miliardy rocznie, według raportu BBC.

Po wzajemnych negocjacjach operator oprogramowania ransomware złożył ostateczną ofertę w wysokości 1,14 USD. Od tego czasu UCSF przesłał 116,4 Bitcoinów do elektronicznego portfela atakującego i od tego czasu otrzymał oprogramowanie deszyfrujące.

Po wykryciu ataku UCSF odizolował zaatakowany system informatyczny w środowisku szkoły medycznej, aby nie naruszyć podstawowej sieci UCSF. Uniwersytet współpracował również z wiodącym konsultantem ds. Bezpieczeństwa cybernetycznego i innymi zewnętrznymi ekspertami w celu zbadania incydentu i powiedział, że spodziewa się wkrótce w pełni przywrócić zainfekowane serwery.

Płacenie okupu Fakt płacenia okupu po ataku ransomware od dawna jest krytykowany przez ekspertów ds. Bezpieczeństwa, którzy twierdzą, że wypłaty finansują przyszłe złośliwe działania cyberprzestępców i dają im większą zachętę do przeprowadzania dalszych ataków.

Eksperci twierdzą, że zapłacenie okupu może również zainspirować innych cyberprzestępców do przeprowadzenia podobnych ataków w nadziei na zarobienie pieniędzy. Niektóre stany, takie jak Nowy Jork, rozważały nawet możliwość zakazania gminom płacenia żądań oprogramowania ransomware.

Brett Callow, analityk zagrożeń w firmie Emsisoft, powiedział że zapłacenie okupu prowadzi do „błędnego koła”, a jedynym sposobem na jego przerwanie jest zaprzestanie płacenia przez firmy.

„Niektórzy uważają, że kwestia zapłaty okupu to decyzje czysto biznesowe, które firmy powinny podejmować na podstawie prostych analiz kosztów i korzyści. To oczywiście bardzo krótkowzroczny widok”

- powiedział Callow.

„Płacenie okupów dodatkowo motywuje przestępców i zapewnia im dodatkowe zasoby do inwestowania w zwiększenie skali ich działalności. To oznacza więcej ofiar i więcej zapłaconych okupów ”.

Wypłaty okupu mogą być również bardziej kosztowne dla ofiar ransomware. Ostatnie badania przeprowadzone przez Vanson Bourne na zlecenie firmy zabezpieczającej Sophos wykazały, że ofiary oprogramowania ransomware, które odmówiły zapłacenia okupu, zgłosiły średnio 730 000 USD kosztów odzyskiwania - podczas gdy organizacje, które zapłaciły okup, zgłosiły średni całkowity koszt, w tym okup, 1,4 miliona dolarów. Pomimo tych ostrzeżeń ofiary ransomware często płacą.

Travelex w tym roku wypłacił hakerom 2,3 miliona dolarów, aby odzyskać dostęp do swojej globalnej sieci po tym, jak styczniowy atak szkodliwego oprogramowania spowodował wyłączenie globalnej wymiany walut i sparaliżowanie jej działalności. A w 2019 roku miasto na Florydzie, dotknięte atakiem ransomware, który spowodował uszkodzenie jego systemów komputerowych przez trzy tygodnie, zapłaciło atakującym żądany okup w wysokości 600000 USD.