Il ransomware Netwalker

 

 

Netwalker è un ceppo di ransomware che prende di mira i sistemi basati su Windows. Scoperto per la prima volta nell’agosto 2019, si è evoluto per tutto il resto del 2019 e nel 2020. L’FBI ha notato picchi significativi negli attacchi mirati di NetWalker durante l’apice della pandemia Covid-19.

Cos’è Netwalker?

Precedentemente chiamato Mailto, Netwalker è un tipo sofisticato di ransomware che rende inaccessibili tutti i file, le applicazioni e i database critici tramite crittografia.

Il gruppo alle spalle dell’attacco richiede il pagamento in criptovaluta in cambio del recupero dei dati e minaccia di pubblicare i dati sensibili della vittima in un “portale di fuga” se i riscatti non vengono pagati.

Tali cyber criminali sono anche noti per lanciare campagne mirate contro grandi organizzazioni, principalmente utilizzando tecniche di phishing inviato ai vari access point allo scopo di infiltrarsi nelle reti.

Come agisce Netwalker

Alcuni campioni di e-mail malevole utilizzavano l’escamotage del COVID-19 come esca per indurre le vittime a fare clic su collegamenti dannosi o scaricare file infetti.

Una volta che un computer è stato infettato, il malware inizia a diffondersi e compromette tutti i dispositivi Windows collegati. Oltre a diffondersi tramite e-mail di spam, questo ransomware può anche camuffarsi da popolare app per la gestione delle password.

Non appena gli utenti eseguono la versione fasulla dell’app, i loro file verranno crittografati. Come Dharma, Sodinokibi (aka REvil) e altre nefande varianti di ransomware, gli operatori di NetWalker utilizzano il modello Ransomware-as-a-Service (RaaS).

Come Netwalker utilizza il Modello Raas

Il gruppo NetWalker ha reclutato attivamente “affiliati” sui forum del dark web, offrendo gli strumenti e l’infrastruttura ai criminali informatici che hanno precedenti esperienze nell’infiltrazione di grandi reti.

Secondo un rapporto di McAfee, il gruppo cerca partner di lingua russa e quelli che hanno già un punto d’appoggio nella rete di una potenziale vittima.

Privilegiano la qualità rispetto alla quantità e hanno solo spazi limitati per i partner. Smettono di reclutare una volta che tali spazi sono stati riempiti e riprendono a pubblicizzare nuovamente il reclutamento tramite i forum solo una volta che uno slot si apre.

Come si è evoluta la nota di riscatto Netwalker?

Le versioni precedenti della richiesta di riscatto NetWalker, proprio come la maggior parte delle altre note di riscatto, avevano una sezione “contattaci” che utilizzava servizi di account di posta elettronica anonimi.

Le vittime avrebbero quindi contattato il gruppo e facilitato il pagamento attraverso questo stratagemma. La versione molto più sofisticata che il gruppo utilizza da marzo 2020 ha abbandonato l’e-mail e l’ha sostituita con un sistema che utilizza l’interfaccia NetWalker Tor.

Agli utenti viene chiesto di scaricare e installare Tor Browser e viene fornito un codice personale. Dopo aver inviato la chiave tramite il modulo online, la vittima verrà reindirizzata a un chat messenger per parlare con il “supporto tecnico” di NetWalker.

Come si paga Netwalker?

Il sistema NetWalker è organizzato in modo molto simile alle aziende a cui si rivolgono. Emettono persino una fattura dettagliata che include lo stato del conto, ovvero “in attesa di pagamento”, l’importo da saldare e il tempo che resta per saldarlo.

Secondo i rapporti, alle vittime viene concessa una settimana per pagare, dopodiché il prezzo per la decrittazione raddoppia, oppure i dati sensibili vengono trapelati a causa del mancato pagamento prima della scadenza.

Una volta effettuato il pagamento, la vittima viene indirizzata a una pagina di download per il programma decryptor. Il programma decryptor è progettato per decriptare solo i file dell’utente specifico che ha effettuato il pagamento.  Questo è il motivo per cui a ogni vittima viene assegnata una chiave univoca.

Come proteggere i dati

Il primo consiglio è sempre il solito: diffidare di e-mail e messaggi che richiedono di fare clic sui collegamenti o di scaricare file.  Invece di fare clic subito sul collegamento, è bene passarci sopra con il mouse per esaminare l’intero URL che dovrebbe apparire nella parte inferiore del browser.

È importante non cliccare su alcun collegamento e-mail fino a quando non si è sicuri che sia autentico, il che potrebbe significare contattare il mittente su un sistema separato per verificare. Occorre anche evitare di scaricare app false.

Assicurarsi di avere un antivirus e un anti-malware affidabili installati regolarmente aggiornati è imprescindibile, in quanto possono spesso individuare collegamenti di phishing all’interno delle e-mail. Installare subito le patch software poiché sono progettate per correggere le vulnerabilità sfruttate di frequente dai criminali informatici.

È inoltre necessario proteggere i punti di accesso della rete con password complesse e utilizzare l’autenticazione a più fattori (MFA) per proteggere l’accesso alla rete, ad altri computer e ai servizi dell’organizzazione. Anche fare regolarmente dei backup è una buona idea.

Foto CERT – AGID

Leggi gli altri report cyber sul blog di Telsy

 

 

 

Claudio Di GiuseppeVedi tutti gli articoli

Diplomato in chimica a Roma, si laurea in sociologia per poi specializzarsi in comunicazione, valutazione e ricerca sociale. Si dedica allo studio di internet, della comunicazione digitale e del marketing, conseguendo un master negli Stati Uniti, a Los Angeles. Successivamente consegue un master di II livello in geopolitica e sicurezza globale, in Italia. Attualmente è Junior Communication Specialist per Telsy, Gruppo TIM. Collabora con la Croce Rossa Italiana come operatore volontario e operatore in attività di protezione civile (OPEM).

Login

Benvenuto! Accedi al tuo account

Ricordami Hai perso la password?

Lost Password

My Agile Privacy
Questo sito utilizza cookie tecnici e di profilazione. Cliccando su accetta si autorizzano tutti i cookie di profilazione. Cliccando su rifiuta o la X si rifiutano tutti i cookie di profilazione. Cliccando su personalizza è possibile selezionare quali cookie di profilazione attivare. Inoltre, questo sito installa Google Analytics nella versione 4 (GA4) con trasmissione di dati anonimi tramite proxy. Prestando il consenso, l'invio dei dati sarà effettuato in maniera anonima, tutelando così la tua privacy.
Attenzione: alcune funzionalità di questa pagina potrebbero essere bloccate a seguito delle tue scelte privacy: