Como o desagradável Netwalker se comportou nos últimos meses

Principais alvos do ator

Recentemente, as operadoras do NetWalker visaram várias empresas que executam sistemas no sistema operacional Windows.

• A atividade desse grupo aumentou durante a pandemia do coronavírus, que foi direcionada ao setor saúde.
• Vítimas notáveis ​​incluem os Serviços de Saúde de Lorien , o Distrito de Saúde Pública de Champaign-Urbana , o Centro de Fertilidade e Ginecologia , o Sistema de Saúde de Crozer-Keystone e vários outros.
• Além da saúde, o ransomware foi usado para atingir várias empresas de manufatura ( Canadian Tire ), soluções de gestão de negócios ( Barbizon Capital ), gestão da experiência do cliente ( Stellar ), soluções de eletromobilidade e bateria ( Forsee Power ), educação ( University of California ), e muitos mais.

Modus operandi

• O grupo por trás deste ransomware opera em um modelo de ransomware como serviço e pode se adaptar rapidamente de acordo com as situações recentes (visto que eles evidentemente tiraram vantagem da pandemia de coronavírus).
• No final de julho, o grupo foi encontrado explorando as vulnerabilidades CVE-2019-11510 e CVE-2019-18935 .
• No início de maio, observou-se que o grupo estava usando injeção de biblioteca de vínculo dinâmico reflexivo (DLL) para infectar as vítimas.

Afiliações e parcerias

O grupo de cibercrime por trás desse ransomware identificado como Circus Spider, um grupo de ameaças com motivação financeira. No final de maio, o grupo de ransomware teria convidado outros criminosos a se tornarem parceiros na disseminação do ransomware. Eles estavam dando preferência a quem tinha experiência em crimes cibernéticos e acesso a redes corporativas.

Principais conclusões

O ransomware Netwalker está usando uma estratégia de ataque duplo, primeiro criptografando os dados e, em seguida, chantageando as vítimas para divulgá-los publicamente. Os especialistas sugerem que a maneira mais eficiente de evitar essa ameaça é interromper o ransomware no estágio inicial com medidas de segurança adequadas, como o uso de gateways de e-mail seguros, proteção de endpoint e fornecimento de treinamento aos funcionários.

Fonte: https://cyware.com/news/how-the-nasty-netwalker-behaved-in-past-few-months-257c8217