Ransomware Netwalker, todo lo que debes saber

Aunque el ransomware existe desde 1996, es una amenaza tan presente hoy como hace dos décadas. La parte más escalofriante es que los ciberatacantes están mejorando.

Los piratas informáticos no solo se están volviendo más refinados en su enfoque, sino que parece que también están explotando lo que posiblemente sea la crisis más notable de los tiempos modernos. Estoy hablando de la pandemia de Coronavirus, por supuesto. Y sí, los ciberdelincuentes ya han encontrado una manera de aprovecharse de nuestra ansiedad colectiva al respecto.

El último ransomware que se beneficia de nuestras preocupaciones es Netwalker. En las siguientes líneas, presentaré su historial hasta el momento, y propondré algunas formas en las que puedes proteger tus datos de ataques similares. Así que, sin más preámbulos, entremos en ello.

¿Qué es Netwalker Ransomware?

Netwalker es una variedad de ransomware descubierta en septiembre de 2019, pero su marca de tiempo se remonta a finales de agosto. Inicialmente se creyó que era una amenaza de la persuasión Mailto, desde entonces se ha establecido que es una versión actualizada de la misma. Mailto fue descubierto por el investigador independiente de ciberseguridad y usuario de Twitter GrujaRS.

Los datos recopilados hasta ahora indican que el ransomware Netwalker fue creado por un grupo de piratas informáticos de habla rusa. Esta facción en particular opera bajo el sobrenombre de Circus Spider.

El concepto detrás de Netwalker es el de Ransomware-as-a-Service (RaaS), lo que significa que Circus Spider proporciona a otros las herramientas y la infraestructura para mantener archivos como rehenes a cambio de un pago de afiliado. El grupo publicó en foros rusos de la web oscura invitando a los ciberdelincuentes interesados ​​a asociarse y difundir el malware.

Este modelo de negocio malicioso no es nada inaudito, siendo empleado principalmente por los actores detrás del ransomware GandCrab y su versión actualizada Sodinokibi. A los afiliados se les ofrece un recorte de hasta el 84% del pago si las ganancias de la semana anterior superan los 300,000 dólares. Si las ganancias están por debajo de esta suma, aún pueden ganar fácilmente alrededor del 80% del valor total. El resto del 16-20% va al grupo detrás de Netwalker. A través de este método, los involucrados ganaron 25 millones de dólares en solo cinco meses a partir del 1 de marzo.

Sin embargo, unirse viene con su propio conjunto de reglas. Los afiliados tienen prohibido ir contra organizaciones ubicadas en la región de Rusia y la Comunidad de Estados Independientes. Además, se estipula que los colaboradores siempre deben devolver los expedientes de las víctimas que pagaron el rescate. No obstante, esto nunca es una garantía cuando se trata de piratas informáticos ransomware.

¿Cómo funciona Netwalker Ransomware?

Cuando Netwalker comenzó a ganar terreno entre los afiliados alrededor de marzo de 2020, su modus operandi era lo suficientemente estándar. Los asociados distribuyeron el malware a través de correos electrónicos no deseados que indujeron a las víctimas a hacer clic en enlaces de phishing e infectar las computadoras de su red. Su enfoque en el volumen masivo significaba que cualquiera corría el riesgo de convertirse en un objetivo.

Este tipo de ataque de ransomware se clasifica como perteneciente a una clase más nueva de malware, a saber, el que se propaga a través de VBScripts. Lo nefasto de esta técnica es que, si tiene éxito, llega a todas las máquinas conectadas a la misma red de Windows que el punto de infección original.

Sin embargo, a partir de abril de 2020, el ransomware Netwalker cambió su enfoque y solicitó que los afiliados hicieran lo mismo. Circus Spider comenzó a reclutar intrusos de red experimentados para identificar grandes objetivos, como empresas privadas, hospitales o agencias gubernamentales, en lugar de usuarios domésticos individuales.

Los atacantes obtuvieron acceso no autorizado a las redes de organizaciones más grandes mediante la manipulación de dispositivos VPN sin parches, contraseñas débiles del Protocolo de escritorio remoto o puntos expuestos en aplicaciones web.

Después de adquirir una entrada ilegal, el ransomware Netwalker finaliza todos los procesos y servicios que se ejecutan con Windows, cifra los archivos en el disco y elimina las copias de seguridad que están almacenadas en la misma red. Como consecuencia, todo lo almacenado en los dispositivos de la red de la víctima se vuelve inaccesible.

Los atacantes obtienen acceso a datos confidenciales, que luego utilizan para chantajear a las víctimas para que paguen un rescate a cambio de que sus archivos privados permanezcan privados y no se filtren en línea. Las capturas de pantalla de los archivos robados junto con una cuenta atrás se publican en el sitio web público de Netwalker. A las víctimas se les da una semana para pagar el rescate, y si no lo hacen, todo lo que estaba en sus máquinas afectadas queda expuesto.

Según una alerta de Flash emitida por el FBI y distribuida entre las víctimas potenciales, Telerik UI y Pulse Secure VPN son dos de las vulnerabilidades más comunes explotadas por los atacantes que intentan infiltrarse en la red de una organización y ejecutar Netwalker.

Una breve historia de los ataques de Netwalker Ransomware

Aunque Netwalker existe desde el otoño de 2019, su condición de ciberamenaza se hizo evidente alrededor de marzo de 2020, como se mencionó anteriormente. Los actores que emplearon el ransomware lograron colarse en las redes de grandes organizaciones incluso antes del cambio de táctica de abril.

Los ataques suelen tener como objetivo establecimientos que pertenecen a las siguientes cuatro categorías:

  • proveedores de servicios de salud,
  • instalaciones educativas,
  • Gobierno local,
  • empresas privadas.

En las subsecciones siguientes, encontrarás ejemplos relevantes detallados para cada uno.

1. Proveedores de atención médica

El ransomware Netwalker se hizo un nombre por sí mismo aprovechando el miedo que rodea a la pandemia de Coronavirus. Por lo tanto, no sorprende que los proveedores de servicios médicos sean uno de sus principales objetivos.

Por ejemplo, el sistema de salud Crozer-Keystone que opera en el área suburbana de Filadelfia informó de un ataque de ransomware a mediados de junio de 2020. El proveedor posee cuatro hospitales, así como cuatro centros ambulatorios en el condado de Delaware, Pensilvania. El equipo de seguridad del proveedor identificó rápidamente la amenaza y tomó las medidas necesarias para mitigar los daños.

Lamentablemente, otros proveedores de atención médica también han sido atacados por el ransomware Netwalker desde el comienzo de la crisis de COVID-19. Un ejemplo es el Distrito de Salud Pública de Champaign-Urbana en Illinois, EE.UU.

Un caso posiblemente más grave es el del Hospital Universitario de Brno ubicado en la República Checa. La segunda mayor institución médica del país fue atacado en medio de la noche del 14 marzo de 2020. Esto retrasó los resultados de las pruebas de Coronavirus. El ataque tuvo lugar solo dos días antes de que el presidente emitiera una cuarentena a nivel nacional en el país.

El sistema sanitario europeo también fue buscado por los atacantes, ya que varios hospitales en España fueron víctimas del ransomware el 25 de marzo.

2. Instalaciones educativas

Varias universidades de los Estados Unidos también se han visto afectadas por los ataques de Netwalker. A principios de junio, los actores detrás de la amenaza de ransomware anunciaron que habían atacado tres instituciones educativas y obtenido datos sensibles como nombres de estudiantes, números de seguridad social e información financiera.

Las universidades afectadas fueron la Universidad Estatal de Michigan, el Columbia College of Chicago y la Universidad de California en San Francisco. Esta última fue una de las escuelas que realizó investigaciones sobre el tratamiento del coronavirus a través de ensayos clínicos y pruebas de anticuerpos.

3. Gobierno local

Desafortunadamente, el gobierno local tampoco está a salvo de esta ciberamenaza. Toda la ciudad austriaca de Weiz también ha sido víctima del ransomware Netwalker en mayo de 2020. Los piratas informáticos ingresaron ilícitamente a la red pública de la aldea con correos electrónicos de phishing centrados en Coronavirus. El asunto de los mensajes se estableció como “información sobre el coronavirus”.

De esta manera, los empleados de la infraestructura pública fueron engañados para hacer clic en los enlaces maliciosos incluidos en el correo electrónico e infectar los equipos de la red. Si bien Weiz es una ciudad pequeña, las plantas de producción de grandes empresas, como las constructoras Lieb-Bau-Weiz y Strobl Constructions, y el fabricante de automóviles Magna, se encuentran allí. El pueblo se considera el centro económico de la región de Oststeiermark de Austria.

4. Organizaciones privadas

Otro objetivo preferido de los ataques de ransomware maliciosos, incluido Netwalker, son las organizaciones privadas, especialmente las del sector del transporte. En febrero de 2020, la empresa australiana Toll Group fue atacada por el ransomware. Como proveedor líder de servicios de transporte y logística en la región de Asia Pacífico, la empresa emplea a más de 44.000 personas en 50 países.

El ataque ransomware se desplegó en la noche del 2 de febrero. Afortunadamente, Toll Group cerró rápidamente varios sistemas para detener su propagación. Como resultado, no se informó que se hayan filtrado datos personales, pero las operaciones de cara al cliente se vieron afectadas en Australia, India y Filipinas.

Cómo proteger a tu organización contra el ransomware Netwalker

Cuando los datos cruciales están infectados por ransomware, ya sea Netwalker o cualquier otro tipo de amenaza similar, las organizaciones pueden verse tentadas a pagar el rescate y acabar de una vez. Sin embargo, no recomiendo hacerlo porque nunca puedes estar seguro de que los atacantes te devolverán el acceso a tus datos.

Para proteger tu empresa frente a este ransomware, esto es lo que debes hacer:

Crea una estrategia de copia de seguridad de datos eficiente

Los piratas informáticos que propagan ransomware basan todo su trabajo en mantener como rehenes los datos confidenciales. Tener un archivo restaurable le quita el poder a los atacantes y lo vuelve a poner en tus manos. Por tanto, es importante tener una copia de seguridad fuera de línea en un disco duro externo u otro tipo de dispositivo de almacenamiento, así como en la nube.

Sin embargo, para que esta estrategia sea realmente eficiente contra los ataques de Netwalker, debes comprender qué tipo de datos necesita respaldar tu empresa en primer lugar. ¿Dónde se almacenan los datos críticos para el negocio? Primero, ubica las carpetas que son vitales para el buen funcionamiento de la operación. Luego, asegúrate de que tengan prioridad en el proceso de almacenamiento en la nube y fuera de línea.

Cambia periódicamente las contraseñas en todos los puntos de acceso

Una forma en que Netwalker se infiltra en las redes de las grandes empresas es a través de la fuerza bruta y los ataques de protocolo de escritorio remoto. Con la ayuda de bots, los actores detrás de estos hacks maliciosos intentan tantas contraseñas como sea posible hasta que dan en el clavo. Es por eso que las contraseñas débiles no pueden proteger los puntos de acceso.

La forma más eficaz de remediar esto en tu organización para siempre puede parecer demasiado simple para ser verdad. Sin embargo, prometo que todo se reduce a cambiar y fortalecer las contraseñas con frecuencia , así como a utilizar procedimientos de autenticación de dos factores. Esto es más que un comportamiento de usuario de Internet de sentido común. Es una forma segura de evitar que los afiliados de ransomware controlen las computadoras en tu red de forma remota a través de RDP.

Utiliza un antivirus de última generación para mejorar la seguridad

Como dije antes, los hackers son cada vez más astutos en sus ataques, y Netwalker es prueba de ello. Por lo tanto, primero debes asegurarte de que tu antivirus esté actualizado. Aún así, eso solo podría no ser suficiente en estos días. Por lo tanto, deberías considerar equipar tu empresa con un antivirus de próxima generación.

Thor Vigilance Enterprise es una solución NGAV que es fácil de usar y, al mismo tiempo, posee funcionalidades avanzadas de detección de malware. Su inteligencia artificial neuronal detecta y combate tanto el malware como el ransomware, así como los virus y los ataques de firewall.

Aplicar periódicamente los parches de software disponibles

La instalación de parches de software tan pronto como los implementen sus respectivos desarrolladores es vital para la salud de tu red. Sin ellos, los piratas informáticos pueden aprovechar fácilmente las vulnerabilidades del sistema no reparadas e infiltrarse en tu máquina para ejecutar Netwalker.

Para implementar parches automáticamente y agilizar aún más el proceso de ciberseguridad de tu empresa, recomendamos nuestro Thor Foresight Enterprise. Mediante el análisis del tráfico de DNS, esta solución identifica las amenazas entrantes y previene posibles incidentes. Es eficaz contra ataques de comando y control, así como contra malware y ransomware.

Busca un descifrador de Netwalker Ransomware

Lo único 100% reactivo que puedes hacer cuando te enfrentas a un caso desagradable del Netwalker (además de pagar el rescate, que de nuevo, no recomiendo) es probar un descifrador de ransomware. Puedes hacerlo siempre que haya uno disponible, por supuesto.

En este momento, no se ha publicado ninguna herramienta de descifrado de Netwalker. Mantengamos los dedos cruzados y esperemos que salga uno pronto. Mientras tanto, la prevención es su mejor opción.

Conclusión

Era solo cuestión de tiempo antes de que los piratas informáticos comenzaran a obtener ganancias con las amenazas relacionadas con el coronavirus, y parece que Netwalker es su incursión más notable en esta dirección. Si bien algunas instituciones grandes ya han sido víctimas de él, no es necesario que esto suceda ahora que hay información disponible sobre esta amenaza.

Como siempre, ser proactivo es el mejor curso de acción cuando se trata de ataques de ransomware. Esperar un descifrador puede ser tentador, ya que es la salida más fácil, pero mientras tanto, es tu debida diligencia proteger tu negocio y tus activos de Netwalker, así como otros tipos de problemas de ciberseguridad.