Tout ce que vous devez savoir sur NetWalker Ransomware

Netwalker est une souche de ransomware qui cible les systèmes Windows.

Découvert pour la première fois en août 2019, il a évolué tout au long du reste de 2019 et jusqu'en 2020. Des pics importants d'attaques ciblées par NetWalker ont été notés par le FBI au plus fort de la pandémie de Covid-19.

Voici ce que vous devez savoir sur les ransomwares qui ont attaqué les principales écoles, systèmes de santé et institutions gouvernementales aux États-Unis et en Europe.

Qu'est-ce que NetWalker Ransomware?

Auparavant appelé Mailto, Netwalker est un type sophistiqué de ransomware qui rend tous les fichiers, applications et bases de données critiques inaccessibles par cryptage. Le groupe derrière cela exige le paiement de crypto-monnaie en échange de la récupération de données et menace de publier les données sensibles de la victime dans un «portail de fuite» si les rançons ne sont pas payées.

Le groupe est connu pour lancer des campagnes très ciblées contre les grandes organisations, principalement en utilisant le phishing par e-mail envoyé aux points d'entrée pour infiltrer les réseaux.

Des échantillons précédents d'e-mails empoisonnés utilisaient la pandémie de coronavirus comme leurre pour inciter les victimes à cliquer sur des liens malveillants ou télécharger des fichiers infectés. Une fois qu'un ordinateur a été infecté, il commence à se propager et compromet tous les appareils Windows connectés.

En plus de se propager par le biais de spams, ce ransomware peut également se déguiser en une application de gestion de mot de passe populaire. Dès que les utilisateurs exécutent la version bidon de l'application, leurs fichiers seront cryptés.

Comme Dharma, Sodinokibi et d'autres variantes de ransomwares néfastes , les opérateurs NetWalker utilisent le modèle de ransomware-as-a-service (RaaS).

Qu'est-ce que Ransomware-As-A-Service?

Le ransomware-as-a-service est la ramification de la cybercriminalité du modèle commercial populaire du logiciel en tant que service (SaaS) où les logiciels hébergés de manière centralisée sur l'infrastructure cloud sont vendus ou loués aux clients sur la base d'un abonnement.

En vendant un ransomware en tant que service, cependant, le matériel vendu est un malware conçu pour lancer des attaques malveillantes. Au lieu de clients, les développeurs de ces ransomwares recherchent des «affiliés» censés faciliter la diffusion du ransomware.

En relation: Le ransomware en tant que service apportera le chaos à tout le monde

Si l'attaque réussit, l'argent de la rançon est partagé entre le développeur du ransomware et l'affilié qui a distribué le ransomware prédéfini. Ces affiliés reçoivent normalement environ 70 à 80% de l'argent de la rançon. C'est un modèle commercial relativement nouveau et lucratif pour les groupes criminels.

Comment NetWalker utilise le modèle RaaS

Le groupe NetWalker recrute activement des "affiliés" sur les forums du dark web, offrant les outils et l'infrastructure aux cybercriminels qui ont déjà infiltré de grands réseaux. Selon un rapport de McAfee, le groupe recherche des partenaires russophones et ceux qui ont déjà un pied dans le réseau d'une victime potentielle.

Ils privilégient la qualité à la quantité et ne disposent que de places limitées pour les partenaires. Ils arrêtent de recruter une fois que ceux-ci ont été remplis et ne feront de la publicité via les forums qu'une fois qu'un créneau sera ouvert.

Comment la note de rançon NetWalker a-t-elle évolué?

Les versions précédentes de la note de rançon NetWalker, tout comme la plupart des autres notes de rançon, comportaient une section «Contactez-nous» qui utilisait des services de compte de messagerie anonyme. Les victimes contacteraient alors le groupe et faciliteraient le paiement par ce biais.

La version beaucoup plus sophistiquée que le groupe utilise depuis mars 2020 a abandonné le courrier électronique et l'a remplacé par un système utilisant l'interface NetWalker Tor.

Les utilisateurs sont invités à télécharger et installer le navigateur Tor et reçoivent un code personnel. Après avoir soumis sa clé via le formulaire en ligne, la victime sera redirigée vers un chat messager pour parler au "support technique" de NetWalker.

Comment payez-vous NetWalker?

Le système NetWalker est organisé de la même manière que les entreprises ciblées. Ils émettent même une facture détaillée qui inclut le statut du compte c'est-à-dire "en attente de paiement", le montant à régler et le temps qu'il leur reste à régler.

Selon les rapports, les victimes ont une semaine pour payer, après quoi le prix du décryptage double – ou des données sensibles sont divulguées en raison du non-paiement avant la date limite. Une fois le paiement effectué, la victime est dirigée vers une page de téléchargement du programme de décryptage.

Le programme de déchiffrement semble être unique et est conçu pour déchiffrer uniquement les fichiers de l'utilisateur spécifique qui a effectué le paiement. C'est pourquoi chaque victime reçoit une clé unique.

Victimes de NetWalker de haut niveau

Le gang derrière NetWalker a été lié à une série d'attaques contre différentes organisations éducatives, gouvernementales et commerciales.

Parmi ses victimes de premier plan figurent la Michigan State University (MSU), le Columbia College of Chicago et l'Université de Californie à San Francisco (UCSF). Ce dernier a apparemment payé une rançon de 1,14 million de dollars en échange d'un outil permettant de déverrouiller les données cryptées.

Ses autres victimes incluent la ville de Weiz en Autriche. Lors de cette attaque, le système de service public de la ville a été compromis. Certaines de leurs données d'inspections de bâtiments et d'applications ont également été divulguées.

Les établissements de santé n'ont pas été épargnés: le gang aurait ciblé le district de santé publique de Champaign Urbana (CHUPD) dans l'Illinois, le College of Nurses of Ontario (CNO) au Canada et l'hôpital universitaire de Düsseldorf (UKD) en Allemagne.

L'attaque contre ce dernier aurait causé un décès après que le patient ait été contraint de se rendre dans un autre hôpital lorsque les services d'urgence de Düsseldorf ont été touchés.

Comment protéger vos données contre les attaques NetWalker

Méfiez-vous des e-mails et des messages vous demandant de cliquer sur des liens ou de télécharger des fichiers. Au lieu de cliquer sur le lien tout de suite, passez la souris dessus pour examiner l'URL entière qui devrait apparaître au bas de votre navigateur. Ne cliquez sur aucun lien e-mail tant que vous n'êtes pas sûr de son authenticité, ce qui peut signifier contacter l'expéditeur sur un système distinct pour le vérifier.

Vous devez également éviter de télécharger de fausses applications .

Assurez-vous que vous disposez d'un antivirus et d'un anti-malware fiables, régulièrement mis à jour. Ceux-ci peuvent souvent détecter des liens de phishing dans les e-mails. Installez immédiatement les correctifs logiciels, car ils sont conçus pour corriger les vulnérabilités que les cybercriminels exploitent fréquemment.

Vous devez également protéger les points d'accès de votre réseau avec des mots de passe forts et utiliser l'authentification multifacteur (MFA) pour protéger l'accès au réseau, aux autres ordinateurs et aux services de votre organisation. Faire des sauvegardes régulières est également une bonne idée.

Devez-vous vous inquiéter à propos de NetWalker?

Bien qu'il ne cible pas encore les utilisateurs finaux individuels, NetWalker peut vous utiliser comme passerelle pour infiltrer les réseaux de votre organisation via des e-mails de phishing et des fichiers malveillants ou des applications factices infectées.

Les ransomwares sont une chose effrayante, mais vous pouvez vous protéger en prenant des précautions raisonnables, en restant vigilant et