Как работает программа-вымогатель Netwalker?
Как-то так получается, что кибербезопасность и киберпреступность идут рука об руку. Обе стороны исхитряются, чтобы достичь своей цели. В 2020 году угроза только увеличилась: Maze, Trickbot, Emotet и Netwalker проникали в сети огромного числа компаний. Что самое ужасное — на фоне пандемии злоумышленники стали ещё активнее.
В 2019 году вымогатели получили от жертв $11,5 млрд. Годом ранее — $8 млрд. В 2021 году эта цифра может вырасти до $20 млрд.
Новая “звезда” среди программ-вымогателей с первой атаки в марте 2020-го принесла создателям $30 млн, и эта цифра будет расти, учитывая схему развития программы.
Что такое Netwalker?
Netwalker — творение группы киберпреступников Circus Spider, отделения более крупной группировки Mummy Spider. В целом, это обычная программа-вымогатель: через фишинговое письмо она попадает в систему, извлекает оттуда данные и шифрует их на устройстве, после чего требует выкуп.
Circus Spider публикуют часть украденной информации как доказательство похищения. Если жертва не заплатит, то оставшиеся данные сольют в даркнет в защищённой папке с общедоступным паролем.
Netwalker использует модель “ransome-as-a-service” (RaaS)
В марте 2020 года группа сделала партнёрскую сеть для Netwalker. Да, даже в таком софте бывают подписки, сервисы и рефералки. Это дало Circus Spider увеличить доходы и сеть персонала.
Хакеры возьмут в долю сообщника, который соответствует таким критериям:
- знает русский (откуда же Circus Spider?);
- умеет работать с сетями на продвинутом уровне;
- работает самостоятельно, т.к. они ничему не учат сами;
- имеет постоянный доступ к целям атак;
- может доказать свою компетентность.
Своим подельникам Circus Spider предлагают такие бонусы:
- автоматическая панель чата Tor;
- права наблюдателя;
- поддержка Windows 2000 и старше;
- быстрый многопотоковый блокировщик с гибкими настройками;
- доступ к процессам дешифровки;
- шифрование смежной сети;
- кастомные сборки PowerShell для работы с антивирусами;
- моментальные выплаты.
Кто потенциальная жертва Netwalker?
Сначала злоумышленники атаковали университеты и медучреждения. Одним из первых пострадал университет медицинских исследований в США. Данные похитили, зашифровали, а часть выложили в открытый доступ. За дешифровку университет заплатил $1,14 млн.
Создатели Netwalker пытаются нажиться на фоне пандемии. Они рассылают фишинговые письма на эту тему в медучреждения, которые взаимодействуют с больными. Сайт одной из жертв заблокировали как раз тогда, когда люди начали обращаться к ним за помощью. Им пришлось делать новый ресурс и перенаправлять всех туда. За 2020 год Netwalker атаковал очень много медучреждений.
Ещё в сфере интересов Netwalker находятся:
- производство;
- управление бизнесом;
- управление потребительским опытом и качеством обслуживания;
- электромобили и решения для накопления электричества;
- образование и т.п.
Как работает Netwalker?
Забрасывание наживки и проникновение
Circus Spider использует фишинг. Всё просто: хакеры закидывают письмо-наживку со сценарием VBS под названием CORONAVIRUS_COVID-19.vbs, который запускает программу-вымогатель, если открыть текстовый файл.
Похищение и шифрование
Как только сценарий начал свою работу, Netwalker уже крадётся по вашей сети. Выглядит это как обычный процесс в виде исполняемого файла Windows.
Как это работает? В исполняемый файл встраивается вредоносный код для доступа к process.exe — это называется Process Hollowing. Так Netwalker может находиться в сети достаточно, чтобы извлечь информацию, снести бэкапы и создать бэкдоры, если их выявят.
Вымогательство и восстановление/потеря данных
Вот Netwalker вытянул и зашифровал всю информацию. После этого жертва получает письмо о том, что его данный зашифрованы и украдены. В ней будет написано, что вообще случилось и что жертва должна сделать, чтобы получить данные обратно. Circus Spider принимает только биткоины и только через Tor.
Как только хакеры получат оплату, жертва сможет расшифровать свои данные через специальный инструмент, к которому получит доступ.
Если оплаты не будет, то Circus Spider либо увеличат стоимость дешифровки, либо сразу частично или полностью сольют данные в даркнет.
Как защититься от Netwalker?
Netwalker использует обычные уязвимости в софте и инфраструктуре, чтобы пробраться внутрь и взять под контроль ваши устройства. Эти уязвимости есть везде, но вам нужно знать об их существовании и действовать на упреждение.
Постепенно Netwalker становится ещё хитрее. Главная причина — развитие “реферальной” программы.
Как можно хотя бы уменьшить ущерб?
- делайте бэкапы на локальных серверах;
- храните критически важные данные в облаке или на внешнем накопителе;
- убедитесь, что данные и бэкапы нельзя изменить или удалить из системы, в которой они хранятся;
- на всех устройствах должен быть актуальный антивирусный софт;
- обезопасьте сеть максимально: не используйте публичный Wi-Fi и постарайтесь обеспечить соединение по VPN;
- надёжные пароли и двухфакторную аутентификацию никто не отменял;
- постоянно обновляйте ОС, приложения и программы до последних версий.
Если вы сделали всё из этого списка, то урон будет меньшим. Но главная защита — избежать человеческий фактор и не дать программе-вымогателю попасть в систему.
Не ведитесь на фишинг
Фишинг — основной метод заражения Netwalker-ом, поэтому сотрудники должны знать что это такое. Как бы вы не бэкапили данные и не защищали свою инфраструктуру, человеческий фактор всегда сильнее.
Файлы из фишинговых писем открывать будут сотрудники, а виноватым окажетесь вы. Поэтому нужно проводить тренинги по базовой информационной безопасности. Вот на что нужно обращать внимание, если пришло письмо со ссылкой, вложенными файлами или просьбой поделиться учётными данными:
- адрес, имя и домен отправителя: если вам пишут с Кокосовых островов, то наверняка что-то не так;
- орфографические ошибки и замены кириллических букв на латиницу или цифры/символы — так злоумышленники пытаются обойти спам-фильтры;
- не отправляйте никому свои учётные данные: никто с правами на их получение не будет вам писать;
- не переходите по ссылкам от подозрительных отправителей;
- не открывайте файлы от подозрительных отправителей или в неизвестном вам формате;
- получили подозрительное письмо — сообщите вашей службе информационной безопасности.
После того как вы проинструктировали персонал, отлично было бы провести симуляцию атаки. Вы рассылаете поддельные фишинговые письма и смотрите на взаимодействие персонала с ними. Анализируем результат, делаем выводы, если нужно — инструктируем персонал ещё раз.
Системы на основе анализа поведения пользователя
Эта штука может помочь остановить программу-вымогатель, когда она уже проникла в сеть. Алгоритмы таких программ анализируют активность пользователей и отличают автоматические действия от ручных.
Если программа-вымогатель, например, начинает похищать и шифровать файлы, то система на основе анализа поведения заблокирует взломанную учётную запись или прекратит деятельность программы другим путём. Автоматизация реакции на подозрительную активность сильно уменьшает ущерб.
Вообще у пользователей обычно намного больше прав и доступов, чем им нужно для нормальной работы. Но и эта проблема решаема.
Zero Trust
Конечно, лучше не допустить попадания программы-вымогателя в систему. Но они постоянно развиваются, за всем не уследить. Модель zero trust даст свести к минимуму ущерб, даже если вы не заметили проникновение.
Учётные записи пользователей — слабое место в любой системе. Если ограничить доступы пользователей к минимуму, то программы-вымогатели просто не смогут нанести урон с их помощью. Просто оставьте доступ лишь к нужным для работы инструментам.
Но это не отменяет всех описанных выше мер. Только комплексная защита и знание основ информационной безопасности могут уберечь компанию от проникновения программ-вымогателей.
А вы сталкивались с программами-вымогателями? Если да, то это были рабочие или частные компьютеры? Поделитесь своим опытом в комментариях.
Для получения дополнительной информации по учебым материалам, рекомендуем посетить наш официальный сайт – ITEDUCENTER