Как работает программа-вымогатель Netwalker?

Как-то так получается, что кибербезопасность и киберпреступность идут рука об руку. Обе стороны исхитряются, чтобы достичь своей цели. В 2020 году угроза только увеличилась: Maze, Trickbot, Emotet и Netwalker проникали в сети огромного числа компаний. Что самое ужасное — на фоне пандемии злоумышленники стали ещё активнее.

В 2019 году вымогатели получили от жертв $11,5 млрд. Годом ранее — $8 млрд. В 2021 году эта цифра может вырасти до $20 млрд.

Новая “звезда” среди программ-вымогателей с первой атаки в марте 2020-го принесла создателям $30 млн, и эта цифра будет расти, учитывая схему развития программы.

Что такое Netwalker?

Netwalker — творение группы киберпреступников Circus Spider, отделения более крупной группировки Mummy Spider. В целом, это обычная программа-вымогатель: через фишинговое письмо она попадает в систему, извлекает оттуда данные и шифрует их на устройстве, после чего требует выкуп.

Circus Spider публикуют часть украденной информации как доказательство похищения. Если жертва не заплатит, то оставшиеся данные сольют в даркнет в защищённой папке с общедоступным паролем.

Netwalker использует модель “ransome-as-a-service” (RaaS)

В марте 2020 года группа сделала партнёрскую сеть для Netwalker. Да, даже в таком софте бывают подписки, сервисы и рефералки. Это дало Circus Spider увеличить доходы и сеть персонала.

Хакеры возьмут в долю сообщника, который соответствует таким критериям:

  • знает русский (откуда же Circus Spider?);
  • умеет работать с сетями на продвинутом уровне;
  • работает самостоятельно, т.к. они ничему не учат сами;
  • имеет постоянный доступ к целям атак;
  • может доказать свою компетентность.

Своим подельникам Circus Spider предлагают такие бонусы:

  • автоматическая панель чата Tor;
  • права наблюдателя;
  • поддержка Windows 2000 и старше;
  • быстрый многопотоковый блокировщик с гибкими настройками;
  • доступ к процессам дешифровки;
  • шифрование смежной сети;
  • кастомные сборки PowerShell для работы с антивирусами;
  • моментальные выплаты.

Кто потенциальная жертва Netwalker?

Сначала злоумышленники атаковали университеты и медучреждения. Одним из первых пострадал университет медицинских исследований в США. Данные похитили, зашифровали, а часть выложили в открытый доступ. За дешифровку университет заплатил $1,14 млн.

Создатели Netwalker пытаются нажиться на фоне пандемии. Они рассылают фишинговые письма на эту тему в медучреждения, которые взаимодействуют с больными. Сайт одной из жертв заблокировали как раз тогда, когда люди начали обращаться к ним за помощью. Им пришлось делать новый ресурс и перенаправлять всех туда. За 2020 год Netwalker атаковал очень много медучреждений.

Ещё в сфере интересов Netwalker находятся:

  • производство;
  • управление бизнесом;
  • управление потребительским опытом и качеством обслуживания;
  • электромобили и решения для накопления электричества;
  • образование и т.п.

Как работает Netwalker?

Забрасывание наживки и проникновение

Circus Spider использует фишинг. Всё просто: хакеры закидывают письмо-наживку со сценарием VBS под названием CORONAVIRUS_COVID-19.vbs, который запускает программу-вымогатель, если открыть текстовый файл. 

Похищение и шифрование

Как только сценарий начал свою работу, Netwalker уже крадётся по вашей сети. Выглядит это как обычный процесс в виде исполняемого файла Windows. 

Как это работает? В исполняемый файл встраивается вредоносный код для доступа к process.exe — это называется Process Hollowing. Так Netwalker может находиться в сети достаточно, чтобы извлечь информацию, снести бэкапы и создать бэкдоры, если их выявят.

Вымогательство и восстановление/потеря данных

Вот Netwalker вытянул и зашифровал всю информацию. После этого жертва получает письмо о том, что его данный зашифрованы и украдены. В ней будет написано, что вообще случилось и что жертва должна сделать, чтобы получить данные обратно. Circus Spider принимает только биткоины и только через Tor. 

Как только хакеры получат оплату, жертва сможет расшифровать свои данные через специальный инструмент, к которому получит доступ.

Если оплаты не будет, то Circus Spider либо увеличат стоимость дешифровки, либо сразу частично или полностью сольют данные в даркнет.

Как защититься от Netwalker?

Netwalker использует обычные уязвимости в софте и инфраструктуре, чтобы пробраться внутрь и взять под контроль ваши устройства. Эти уязвимости есть везде, но вам нужно знать об их существовании и действовать на упреждение. 

Постепенно Netwalker становится ещё хитрее. Главная причина — развитие “реферальной” программы.

Как можно хотя бы уменьшить ущерб?

  • делайте бэкапы на локальных серверах;
  • храните критически важные данные в облаке или на внешнем накопителе;
  • убедитесь, что данные и бэкапы нельзя изменить или удалить из системы, в которой они хранятся;
  • на всех устройствах должен быть актуальный антивирусный софт;
  • обезопасьте сеть максимально: не используйте публичный Wi-Fi и постарайтесь обеспечить соединение по VPN;
  • надёжные пароли и двухфакторную аутентификацию никто не отменял;
  • постоянно обновляйте ОС, приложения и программы до последних версий.

Если вы сделали всё из этого списка, то урон будет меньшим. Но главная защита — избежать человеческий фактор и не дать программе-вымогателю попасть в систему.

Не ведитесь на фишинг

Фишинг — основной метод заражения Netwalker-ом, поэтому сотрудники должны знать что это такое. Как бы вы не бэкапили данные и не защищали свою инфраструктуру, человеческий фактор всегда сильнее.

Файлы из фишинговых писем открывать будут сотрудники, а виноватым окажетесь вы. Поэтому нужно проводить тренинги по базовой информационной безопасности. Вот на что нужно обращать внимание, если пришло письмо со ссылкой, вложенными файлами или просьбой поделиться учётными данными:

  • адрес, имя и домен отправителя: если вам пишут с Кокосовых островов, то наверняка что-то не так;
  • орфографические ошибки и замены кириллических букв на латиницу или цифры/символы — так злоумышленники пытаются обойти спам-фильтры;
  • не отправляйте никому свои учётные данные: никто с правами на их получение не будет вам писать;
  • не переходите по ссылкам от подозрительных отправителей;
  • не открывайте файлы от подозрительных отправителей или в неизвестном вам формате;
  • получили подозрительное письмо — сообщите вашей службе информационной безопасности.

После того как вы проинструктировали персонал, отлично было бы провести симуляцию атаки. Вы рассылаете поддельные фишинговые письма и смотрите на взаимодействие персонала с ними. Анализируем результат, делаем выводы, если нужно — инструктируем персонал ещё раз.

Системы на основе анализа поведения пользователя

Эта штука может помочь остановить программу-вымогатель, когда она уже проникла в сеть. Алгоритмы таких программ анализируют активность пользователей и отличают автоматические действия от ручных.

Если программа-вымогатель, например, начинает похищать и шифровать файлы, то система на основе анализа поведения заблокирует взломанную учётную запись или прекратит деятельность программы другим путём. Автоматизация реакции на подозрительную активность сильно уменьшает ущерб.

Вообще у пользователей обычно намного больше прав и доступов, чем им нужно для нормальной работы. Но и эта проблема решаема.

Zero Trust

Конечно, лучше не допустить попадания программы-вымогателя в систему. Но они постоянно развиваются, за всем не уследить. Модель zero trust даст свести к минимуму ущерб, даже если вы не заметили проникновение.

Учётные записи пользователей — слабое место в любой системе. Если ограничить доступы пользователей к минимуму, то программы-вымогатели просто не смогут нанести урон с их помощью. Просто оставьте доступ лишь к нужным для работы инструментам. 

Но это не отменяет всех описанных выше мер. Только комплексная защита и знание основ информационной безопасности могут уберечь компанию от проникновения программ-вымогателей.

А вы сталкивались с программами-вымогателями? Если да, то это были рабочие или частные компьютеры? Поделитесь своим опытом в комментариях.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *