Como o desagradável Netwalker se comportou nos últimos meses
O ransomware NetWalker (também conhecido como Mailto), desenvolvido e operado por um grupo de cibercrime conhecido como Circus Spider, está ativo desde meados de 2019. Desde os últimos meses, seus operadores estão ativamente visando as vítimas, principalmente em redes corporativas.
Principais alvos do ator
Recentemente, as operadoras do NetWalker visaram várias empresas que executam sistemas no sistema operacional Windows.
- A atividade desse grupo aumentou durante a pandemia do coronavírus, que foi direcionada ao setor saúde.
- Vítimas notáveis incluem os Serviços de Saúde de Lorien , o Distrito de Saúde Pública de Champaign-Urbana , o Centro de Fertilidade e Ginecologia , o Sistema de Saúde de Crozer-Keystone e vários outros.
- Além da saúde, o ransomware foi usado para atingir várias empresas de manufatura ( Canadian Tire ), soluções de gestão de negócios ( Barbizon Capital ), gestão da experiência do cliente ( Stellar ), soluções de eletromobilidade e bateria ( Forsee Power ), educação ( University of California ), e muitos mais.
Modus operandi
- O grupo por trás deste ransomware opera em um modelo de ransomware como serviço e pode se adaptar rapidamente de acordo com as situações recentes (visto que eles evidentemente tiraram vantagem da pandemia de coronavírus).
- No final de julho, o grupo foi encontrado explorando as vulnerabilidades CVE-2019-11510 e CVE-2019-18935 .
- No início de maio, observou-se que o grupo estava usando injeção de biblioteca de vínculo dinâmico reflexivo (DLL) para infectar as vítimas.
Afiliações e parcerias
O grupo de cibercrime por trás desse ransomware identificado como Circus Spider, um grupo de ameaças com motivação financeira. No final de maio, o grupo de ransomware teria convidado outros criminosos a se tornarem parceiros na disseminação do ransomware. Eles estavam dando preferência a quem tinha experiência em crimes cibernéticos e acesso a redes corporativas.
Principais conclusões
O ransomware Netwalker está usando uma estratégia de ataque duplo, primeiro criptografando os dados e, em seguida, chantageando as vítimas para divulgá-los publicamente. Os especialistas sugerem que a maneira mais eficiente de evitar essa ameaça é interromper o ransomware no estágio inicial com medidas de segurança adequadas, como o uso de gateways de e-mail seguros, proteção de endpoint e fornecimento de treinamento aos funcionários.
Fonte: https://cyware.com/news/how-the-nasty-netwalker-behaved-in-past-few-months-257c8217
