0
0
Em pouco mais de um ano, operadores do malware vazaram dados de 113 organizações em todo o mundo, ultrapassando de longe outras famílias de ransomware
A família de ransomware NetWalker foi uma das principais, senão a principal, responsáveis por alavancar no último ano o modelo de ransomware-as-a-service (RaaS) — também conhecido como kit de ransomware —, em que um hacker cria um ransomware e o “revende” para pessoas interessadas em utilizá-lo, normalmente cobrando uma taxa mensal ou recebendo uma parte do lucro obtido com os golpes.
Apesar de o FBI ter anunciado em janeiro que conseguiu interromper a infraestrutura de ataque do NetWalker (o domínio dark web gerenciado pelos operadores do ransomware, que hospedava dados vazados, não está mais acessível), de janeiro de 2020 a janeiro deste ano, ele vazou dados de 113 organizações em todo o mundo, ultrapassando de longe outras famílias de ransomware, de acordo com relatório elaborado pela Palo Alto Networks
Ele foi observado pela primeira vez em agosto de 2019 e era chamado originalmente de Mailto pela comunidade de segurança porque os arquivos criptografados foram alterados para uma extensão .mailto. Após a análise de uma ferramenta de descriptografia, fornecida por desenvolvedores após o pagamento, o verdadeiro nome dado por seus desenvolvedores foi NetWalker. Na época, era uma ameaça commodity, o que significava que seria distribuída por meio de campanhas de spam em massa, sem levar em consideração quem seriam suas vítimas.
Um grupo de cibercriminosos chamado Circus Spider, que se acredita ser de origem russa, criou esse ransomware. O NetWalker se tornou uma ameaça considerável para as corporações, em particular devido não apenas à criptografia de dados, mas também à ameaça de divulgar publicamente dados confidenciais roubados durante a criptografia.
A mudança do NetWalker para o modelo de ransomware-as-a-service (RaaS) ocorreu em março do ano passado, e o grupo Circus Spider começou a procurar afiliados para propagar seu malware. Os hackers afiliados seriam responsáveis por propagar o malware e receberiam em troca uma porcentagem do resgate coletado. O Circus Spider procurou afiliados que atendessem aos seguintes requisitos: falasse russo, tivesse experiência com habilidades do Red Team e pudessem provar essa experiência.
O Circus Spider queria que seus afiliados adotassem uma abordagem mais direcionada a vítimas maiores e com maior poder financeiro. Entre as vítimas preferenciais estavam hospitais, instituições educacionais e governos. O NetWalker costuma capitalizar sobre eventos da atualidade como parte de seus chamarizes. Desde o início do ano passado, vários grupos que utilizam o NetWalker têm usado e-mails de phishing com o tema covid-19 para atingir e comprometer vários hospitais, bem como uma universidade especializada em pesquisa médica.
No modelo RaaS, os afiliados atacam as vítimas usando vários métodos diferentes. Os mais comuns são e-mails de phishing com arquivos maliciosos anexados, como VBScript ou PowerShell; e serviços expostos ou vulneráveis do Remote Desktop Protocol (RDP) e arquivos EXE. Uma vez nas redes das vítimas, os afiliados frequentemente buscam e coletam dados de alto valor, como informações de identificação pessoal (Pii) ou dados específicos da empresa. Esses dados são então copiados e filtrados antes da criptografia. Os operadores por trás do NetWalker frequentemente também tentam descartar credenciais e mover lateralmente para outros hosts, com o objetivo de comprometer vítimas adicionais.
Os dados exfiltrados então são preparados para ser postados em um site de vazamento específico gerenciado pelos operadores do NetWalker — semelhante à abordagem usada por muitos operadores de ransomware. As vítimas ficam sob contagem regressiva para pagar o resgate, com o preço exigido aumentando à medida que o prazo de expiração estipulado pelos hackers diminui.
No ano passado, a Palo Alto Networks observou vítimas do Netwalker nos setores de governo, saúde, manufatura, transporte e logística e energia. Os locais das vítimas abrangem quase todos os continentes, em países como EUA, Canadá, Arábia Saudita, França, Alemanha, Austrália, Nova Zelândia, Suécia, Paquistão, Índia, Tailândia, Reino Unido, Emirados Árabes Unidos, Colômbia e África do Sul.
No início deste ano, as autoridades tentaram interromper as ações do NetWalker. Isso incluiu uma prisão, confisco de fundos e apreensão do site do vazamento, onde os dados das vítimas são carregados e aguardam a liberação completa. Resta saber o quão eficazes essas ações serão para impedir os desenvolvedores do Circus Spider, mas é um passo de esperança na direção de parar e possivelmente processar esses cibercriminosos.
FONTE: CISO ADVISOR