Netwalker est une souche de ransomware qui cible les systèmes basés sur Windows.
Découvert pour la première fois en août 2019, il a évolué tout au long de l'année 2019 et jusqu'en 2020. Des pics importants d'attaques ciblées par NetWalker ont été constatés par le FBI au plus fort de la pandémie de Covid-19.
Voici ce que vous devez savoir sur le rançongiciel qui a attaqué de grandes écoles, des systèmes de santé et des institutions gouvernementales aux États-Unis et en Europe.
Auparavant appelé Mailto, Netwalker est un type sophistiqué de rançongiciel qui rend tous les fichiers, applications et bases de données critiques inaccessibles par cryptage. Le groupe derrière lui exige un paiement en crypto-monnaie en échange de la récupération des données et menace de publier les données sensibles de la victime dans un "portail de fuite" si les rançons ne sont pas payées.
Le groupe est connu pour lancer des campagnes très ciblées contre de grandes organisations, principalement en utilisant le phishing par e-mail envoyé aux points d'entrée pour infiltrer les réseaux.
Les précédents échantillons d'e-mails empoisonnés utilisaient la pandémie de coronavirus comme leurre pour inciter les victimes à cliquer sur des liens malveillants ou à télécharger des fichiers infectés. Une fois qu'un ordinateur a été infecté, il commence à se propager et compromet tous les appareils Windows connectés.
En plus de se propager par le biais de spams, ce rançongiciel peut également se déguiser en une application de gestion de mots de passe populaire. Dès que les utilisateurs exécuteront la fausse version de l'application, leurs fichiers seront cryptés.
Comme Dharma, Sodinokibi et d'autres variantes de rançongiciels néfastes, les opérateurs de NetWalker utilisent le modèle de rançongiciel en tant que service (RaaS).
Le ransomware-as-a-service est la branche cybercriminelle du modèle commercial SaaS (software-as-a-service) populaire dans lequel les logiciels hébergés de manière centralisée sur une infrastructure cloud sont vendus ou loués aux clients sur la base d'un abonnement.
Cependant, dans la vente de rançongiciels en tant que service, le matériel vendu est un logiciel malveillant conçu pour lancer des attaques néfastes. Au lieu de clients, les développeurs de ces rançongiciels recherchent des "affiliés" censés faciliter la propagation du rançongiciel.
Si l'attaque réussit, l'argent de la rançon est partagé entre le développeur du ransomware et l'affilié qui a distribué le ransomware prédéfini. Ces affiliés reçoivent normalement environ 70 à 80 % de l'argent de la rançon. Il s'agit d'un modèle commercial relativement nouveau et lucratif pour les groupes criminels.
Le groupe NetWalker a activement recruté des "affiliés" sur les forums du dark web, offrant les outils et l'infrastructure aux cybercriminels qui ont déjà infiltré de grands réseaux. Selon un rapport de McAfee, le groupe recherche des partenaires russophones et ceux qui ont déjà un pied dans le réseau d'une victime potentielle.
Ils privilégient la qualité à la quantité et n'ont que des créneaux limités pour les partenaires. Ils arrêtent de recruter une fois ceux-ci remplis et ne feront de nouveau de la publicité via les forums qu'une fois qu'un créneau se sera libéré.
Les versions précédentes de la note de rançon NetWalker, tout comme la plupart des autres notes de rançon, avaient une section "contactez-nous" qui utilisait des services de compte de messagerie anonyme. Les victimes contacteraient alors le groupe et faciliteraient le paiement par ce biais.
La version beaucoup plus sophistiquée que le groupe utilise depuis mars 2020 a abandonné l'e-mail et l'a remplacé par un système utilisant l'interface NetWalker Tor.
Les utilisateurs sont invités à télécharger et à installer le navigateur Tor et reçoivent un code personnel. Après avoir soumis sa clé via le formulaire en ligne, la victime sera redirigée vers un chat messager pour parler au "support technique" de NetWalker.
Le système NetWalker est organisé de la même manière que les entreprises qu'il cible. Ils émettent même une facture détaillée qui inclut le statut du compte, c'est-à-dire "en attente de paiement", le montant à régler et le temps qu'il leur reste pour régler.
Selon les rapports, les victimes disposent d'une semaine pour payer, après quoi le prix du décryptage double ou des données sensibles sont divulguées en raison d'un non-paiement avant la date limite. Une fois le paiement effectué, la victime est dirigée vers une page de téléchargement du programme de décryptage.
Le programme de décryptage semble être unique et est conçu pour décrypter uniquement les fichiers de l'utilisateur spécifique qui a effectué le paiement. C'est pourquoi chaque victime reçoit une clé unique.
Le gang derrière NetWalker a été lié à une série d'attaques contre différentes organisations éducatives, gouvernementales et commerciales.
Parmi ses victimes les plus médiatisées figurent la Michigan State University (MSU), le Columbia College de Chicago et l'Université de Californie à San Francisco (UCSF). Ce dernier a apparemment payé une rançon de 1,14 million de dollars en échange d'un outil permettant de déverrouiller les données chiffrées.
Ses autres victimes incluent la ville de Weiz en Autriche. Au cours de cette attaque, le système de service public de la ville a été compromis. Certaines de leurs données provenant d'inspections de bâtiments et d'applications ont également été divulguées.
Les établissements de santé n'ont pas été épargnés :le gang aurait ciblé le district de santé publique de Champaign Urbana (CHUPD) dans l'Illinois, le Collège des infirmières de l'Ontario (CNO) au Canada et l'hôpital universitaire de Düsseldorf (UKD) en Allemagne.
L'attaque contre ce dernier aurait causé un décès après que le patient ait été contraint de se rendre dans un autre hôpital lorsque les services d'urgence de Düsseldorf ont été touchés.
Méfiez-vous des courriels et des messages vous invitant à cliquer sur des liens ou à télécharger des fichiers. Au lieu de cliquer tout de suite sur le lien, survolez-le pour examiner l'intégralité de l'URL qui devrait apparaître en bas de votre navigateur. Ne cliquez sur aucun lien d'e-mail tant que vous n'êtes pas certain qu'il est authentique, ce qui peut nécessiter de contacter l'expéditeur sur un système distinct pour vérifier.
Vous devez également éviter de télécharger de fausses applications.
Assurez-vous d'avoir installé un antivirus et un anti-malware fiables et régulièrement mis à jour. Ceux-ci peuvent souvent repérer des liens de phishing dans les e-mails. Installez immédiatement les correctifs logiciels, car ils sont conçus pour corriger les vulnérabilités fréquemment exploitées par les cybercriminels.
Vous devez également protéger les points d'accès de votre réseau avec des mots de passe forts et utiliser l'authentification multifacteur (MFA) pour protéger l'accès au réseau, aux autres ordinateurs et aux services de votre organisation. Faire des sauvegardes régulières est également une bonne idée.
Bien qu'il ne cible pas encore les utilisateurs finaux individuels, NetWalker peut vous utiliser comme passerelle pour infiltrer les réseaux de votre organisation via des e-mails de phishing et des fichiers malveillants ou de fausses applications infectées.
Les ransomwares sont effrayants, mais vous pouvez vous protéger en prenant des précautions raisonnables, en restant vigilant et