Todo lo que necesita saber sobre NetWalker Ransomware

Netwalker es una variedad de ransomware que se dirige a los sistemas basados ​​en Windows.

Descubierto por primera vez en agosto de 2019, evolucionó durante el resto de 2019 y hasta 2020. El FBI notó picos significativos en los ataques dirigidos a NetWalker durante el apogeo de la pandemia Covid-19.

Esto es lo que necesita saber sobre el ransomware que ha atacado a las principales escuelas, sistemas de salud e instituciones gubernamentales en los EE. UU. Y Europa.

¿Qué es NetWalker Ransomware?

Anteriormente llamado Mailto, Netwalker es un tipo sofisticado de ransomware que hace que todos los archivos, aplicaciones y bases de datos críticos sean inaccesibles a través del cifrado. El grupo detrás de él exige el pago de criptomonedas a cambio de la recuperación de datos y amenaza con publicar los datos confidenciales de la víctima en un "portal de filtraciones" si no se pagan los rescates.

Se sabe que el grupo lanza campañas altamente dirigidas contra grandes organizaciones, principalmente utilizando correo electrónico de phishing enviado a puntos de entrada para infiltrarse en las redes.

Muestras anteriores de correos electrónicos envenenados utilizaron la pandemia de coronavirus como señuelo para hacer que las víctimas hicieran clic en enlaces maliciosos o descargar archivos infectados. Una vez que una computadora ha sido infectada, comienza a propagarse y compromete todos los dispositivos Windows conectados.

Además de propagarse a través de correos electrónicos no deseados, este ransomware también puede disfrazarse como una popular aplicación de administración de contraseñas. Tan pronto como los usuarios ejecuten la versión falsa de la aplicación, sus archivos se cifrarán.

Al igual que Dharma, Sodinokibi y otras nefastas variantes de ransomware , los operadores de NetWalker utilizan el modelo de ransomware como servicio (RaaS).

¿Qué es Ransomware-As-A-Service?

El ransomware como servicio es la rama del ciberdelito del popular modelo de negocio de software como servicio (SaaS) en el que el software alojado de forma centralizada en la infraestructura de la nube se vende o alquila a los clientes mediante suscripción.

Sin embargo, al vender ransomware como servicio, el material vendido es malware diseñado para lanzar ataques nefastos. En lugar de clientes, los desarrolladores de estos ransomware buscan "afiliados" que se espera que faciliten la propagación del ransomware.

Relacionado: Ransomware-as-a-Service traerá el caos a todos

Si el ataque tiene éxito, el dinero del rescate se divide entre el desarrollador del ransomware y el afiliado que distribuyó el ransomware prediseñado. Estos afiliados normalmente obtienen entre el 70 y el 80 por ciento del dinero del rescate. Es un modelo de negocio relativamente nuevo y lucrativo para grupos criminales.

Cómo NetWalker usa el modelo RaaS

El grupo NetWalker ha estado reclutando activamente "afiliados" en foros de la web oscura, ofreciendo las herramientas y la infraestructura a los ciberdelincuentes que tienen experiencia previa en infiltrarse en grandes redes. Según un informe de McAfee, el grupo busca socios que hablen ruso y aquellos que ya tengan un punto de apoyo en la red de una posible víctima.

Priorizan la calidad sobre la cantidad y solo tienen espacios limitados para los socios. Dejan de reclutar una vez que se han completado y solo se anunciarán a través de los foros nuevamente una vez que se abra un espacio.

¿Cómo evolucionó el NetWalker Ransom Note?

Las versiones anteriores de la nota de rescate de NetWalker, al igual que la mayoría de las otras notas de rescate, tenían una sección de "contáctenos" que utilizaba servicios de cuentas de correo electrónico anónimo. Las víctimas se pondrían en contacto con el grupo y facilitarían el pago a través de este.

La versión mucho más sofisticada que el grupo ha estado usando desde marzo de 2020 abandonó el correo electrónico y lo reemplazó con un sistema que usa la interfaz NetWalker Tor.

Se pide a los usuarios que descarguen e instalen el navegador Tor y se les da un código personal. Después de enviar su clave a través del formulario en línea, la víctima será redirigida a un mensajero de chat para hablar con el "soporte técnico" de NetWalker.

¿Cómo paga a NetWalker?

El sistema NetWalker está organizado de manera muy similar a las empresas a las que se dirigen. Incluso emiten una factura detallada que incluye el estado de la cuenta, es decir, "en espera de pago", la cantidad que debe liquidarse y el tiempo que les queda para liquidar.

Según los informes, a las víctimas se les da una semana para pagar, después de la cual el precio del descifrado se duplica, o se filtran datos confidenciales como consecuencia de la falta de pago antes de la fecha límite. Una vez que se ha realizado el pago, se dirige a la víctima a una página de descarga del programa descifrador.

El programa de descifrado parece ser único y está diseñado para descifrar solo los archivos del usuario específico que realizó el pago. Es por eso que a cada víctima se le da una clave única.

Víctimas de NetWalker de alto perfil

La pandilla detrás de NetWalker se ha relacionado con una serie de ataques a diferentes organizaciones educativas, gubernamentales y comerciales.

Entre sus víctimas de alto perfil se encuentran la Universidad Estatal de Michigan (MSU), el Columbia College of Chicago y la Universidad de California San Francisco (UCSF). Este último aparentemente pagó un rescate de 1,14 millones de dólares a cambio de una herramienta para desbloquear los datos cifrados.

Sus otras víctimas incluyen la ciudad de Weiz en Austria. Durante este ataque, el sistema de servicio público de la ciudad se vio comprometido. También se filtraron algunos de sus datos de las inspecciones de edificios y las aplicaciones.

Las instituciones de salud no se han librado: la pandilla presuntamente apuntó al Distrito de Salud Pública de Champaign Urbana (CHUPD) en Illinois, el Colegio de Enfermeras de Ontario (CNO) en Canadá y el Hospital Universitario de Düsseldorf (UKD) en Alemania.

Se cree que el ataque a este último causó una muerte después de que el paciente se vio obligado a ir a un hospital diferente cuando los servicios de emergencia en Dusseldorf se vieron afectados.

Cómo proteger sus datos de los ataques de NetWalker

Tenga cuidado con los correos electrónicos y mensajes que le piden que haga clic en enlaces o descargue archivos. En lugar de hacer clic en el enlace de inmediato, coloque el cursor sobre él para examinar la URL completa que debería aparecer en la parte inferior de su navegador. No haga clic en ningún enlace de correo electrónico hasta que esté seguro de que es genuino, lo que podría significar que se comunique con el remitente en un sistema separado para verificarlo.

También debe evitar descargar aplicaciones falsas .

Asegúrese de tener instalados antivirus y antimalware fiables que se actualicen periódicamente. A menudo, estos pueden detectar enlaces de phishing dentro de los correos electrónicos. Instale parches de software de inmediato, ya que están diseñados para corregir vulnerabilidades que los ciberdelincuentes explotan con frecuencia.

También debe proteger los puntos de acceso de su red con contraseñas seguras y utilizar la autenticación multifactor (MFA) para proteger el acceso a la red, otras computadoras y los servicios de su organización. También es una buena idea realizar copias de seguridad periódicas.

¿Debería preocuparse por NetWalker?

Si bien aún no se dirige a usuarios finales individuales, NetWalker puede usarlo como puerta de entrada para infiltrarse en las redes de su organización a través de correos electrónicos de phishing y archivos maliciosos o aplicaciones falsas infectadas.

El ransomware da miedo, pero puede protegerse tomando precauciones sensatas, permaneciendo alerta y