Como adelantamos el pasado 27 de agosto, la Dirección Nacional de Migraciones (DNM), dependiente del Ministerio del Interior, fue atacado por un ransomware. Luego, a través de distintas capturas que se filtraron, se pudo confirmar que se trataba de Netwalker.

Los ataques de ransomware se están volviendo más específicos, sofisticados y costosos, incluso cuando la frecuencia general de los ataques sigue siendo constante. Desde principios de 2018, la incidencia de campañas de ransomware amplias e indiscriminadas ha disminuido drásticamente, pero las pérdidas por ataques de ransomware han aumentado significativamente, según las quejas recibidas por IC3 y la información de casos del FBI.

Aunque los gobiernos estatales y locales han sido objetivos particularmente visibles para los ataques de ransomware, los actores maliciosos también se han dirigido a organizaciones gubernamentales, de atención médica, empresas industriales y el sector del transporte. Para muestra vale un botón.

Los delincuentes no solo se están volviendo más refinados en su enfoque, sino que parece que también están explotando la crisis más notable de los tiempos modernos: la pandemia de Coronavirus.
Uno de los últimos ransomware que se beneficia de esta situación es Netwalker. A continuación, presentaré su historial hasta el momento, así como también propondré algunas formas en las que puede proteger sus datos de ataques similares. Así que, sin más preámbulos, entremos en ello.

¿Qué es Netwalker Ransomware?

Netwalker es una variedad de ransomware descubierta en septiembre de 2019, pero su marca de tiempo se remonta a finales de agosto. Inicialmente se creyó que eran cambios menores de Mailto (por la extensión que colocaba a los archivos) pero, desde entonces se ha establecido que es una versión actualizada de la misma. Mailto fue descubierto por el investigador independiente de ciberseguridad y usuario de Twitter GrujaRS, un coleccionador de ransomware. Poco después, Coveware descubrió un descifrador para el ransomware que indicaba que el nombre del desarrollador de la infección es Netwalker.
Los datos recopilados hasta ahora indican que el ransomware Netwalker fue creado por un grupo de delincuentes informáticos rusos. Esta facción en particular opera bajo el sobrenombre de Circus Spider y se encontraría activa desde mediados de 2019.

El concepto detrás de Netwalker es el de Ransomware-as-a-Service (RaaS), lo que significa que Circus Spider proporciona a otros las herramientas y la infraestructura para mantener archivos como rehenes a cambio de un pago de afiliado. El grupo publicó en foros rusos de la web oscura invitando a los ciberdelincuentes interesados ​​a asociarse y difundir el malware.

Este modelo de negocio malicioso no es nada nuevo, siendo utilizado principalmente por los actores detrás del ransomware GandCrab y su versión actualizada Sodinokibi. A los afiliados se les ofrece un recorte de hasta el 84% del pago si las ganancias de la semana anterior superan los U$S 300.000. Si las ganancias están por debajo de esta suma, aún pueden ganar fácilmente alrededor del 80% del valor total. El resto del 16-20% va al grupo detrás de Netwalker. A través de este método, los involucrados ganaron 25 millones de dólares en solo cinco meses a partir del 1 de marzo.

Sin embargo, unirse viene con su propio conjunto de reglas. Los afiliados tienen prohibido ir en contra de organizaciones ubicadas en la región de Rusia y la Comunidad de Estados Independientes. Además, se estipula que los colaboradores siempre deben devolver los archivos de las víctimas que pagaron el rescate. No obstante, esto nunca es una garantía cuando se trata de delincuentes informáticos ransomware.

Breve historia de NetWalker

Aunque Netwalker existe desde septiembre de 2019, su estado como una amenaza se hizo evidente alrededor de marzo de 2020, como se mencionó anteriormente. Los actores que emplearon el ransomware lograron colarse en las redes de grandes organizaciones incluso antes del cambio de táctica de abril.

Los ataques suelen tener como objetivo establecimientos que pertenecen a las siguientes cuatro categorías:

• proveedores de servicios de salud;
• instalaciones educativas;
• Gobiernos y organismos públicos;
• empresas privadas.

¿Cómo funciona Netwalker Ransomware?

Cuando Netwalker comenzó a ganar terreno entre los afiliados alrededor de marzo de 2020, su Modus-Operandi (MO) era lo suficientemente estándar. Los asociados distribuyeron el malware a través de correos electrónicos no deseados que atrajeron a las víctimas a hacer clic en enlaces de phishing e infectar las computadoras de su red. Su enfoque en el volumen masivo significaba que cualquiera corría el riesgo de convertirse en un objetivo.

Al operar en un modelo de RaaS, puede adaptarse rápidamente de acuerdo a situaciones recientes (como la pandemia). A fines de julio, se descubrió que el grupo explotaba las vulnerabilidades CVE-2019-11510 y CVE-2019-18935 (Pulse Secure VPN y Telerik respectivamente) y, a principios de mayo, se observó que el grupo estaba usando la inyección de biblioteca de vínculos dinámicos reflectantes (DLL) para infectar a las víctimas. 

A partir de abril de 2020, el ransomware Netwalker cambió su enfoque y solicitó que los afiliados hicieran lo mismo. Circus Spider comenzó a reclutar intrusos de red experimentados para identificar grandes objetivos como empresas privadas, hospitales o agencias gubernamentales, en lugar de usuarios domésticos individuales. Los atacantes obtuvieron acceso no autorizado a las redes de organizaciones más grandes mediante la manipulación de dispositivos VPN sin parches, contraseñas débiles en protocolos de escritorio remoto o puntos expuestos en aplicaciones web.

Desde entonces, NetWalker ha alcanzado una gran cantidad de objetivos diferentes, principalmente en países de Europa occidental y EE.UU. y ha quedado claro su preferencia por organizaciones más grandes en lugar de individuos. Por ejemplo, durante la pandemia de COVID-19, declararon claramente que los hospitales no serían atacados.

El ransomware agrega una extensión aleatoria a los archivos infectados y utiliza el cifrado Salsa20. Utiliza algunos trucos para evitar la detección, como una nueva técnica de evasión de defensa, conocida como la mencionada reflexión de DLL, para inyectar una DLL desde la memoria.

Lo nefasto de esta técnica es que, si tiene éxito, llega a todas las máquinas conectadas a la misma red de Windows que el punto de infección original. Después de adquirir una entrada ilegal, el ransomware Netwalker finaliza todos los procesos y servicios que se ejecutan con Windows, cifra los archivos en el disco y elimina las copias de seguridad almacenadas en la misma red. Como consecuencia, todo lo almacenado en los dispositivos de la red de la víctima se vuelve inaccesible.

Los atacantes obtienen acceso a datos confidenciales, que luego utilizan para chantajear a las víctimas para que paguen un rescate a cambio de que sus archivos privados permanezcan privados y no se filtren en línea. Las capturas de pantalla de los archivos robados junto con una cuenta atrás se publican en el sitio web público de la "vergüenza" de Netwalker. A las víctimas se les da una semana para pagar el rescate, y si no lo hacen, todo lo que estaba en sus máquinas afectadas queda expuesto.

Según una alerta emitida por el FBI y distribuida entre las víctimas potenciales, Telerik UI y Pulse Secure VPN son dos de las vulnerabilidades más comunes explotadas por los atacantes que intentan infiltrarse en la red de una organización y ejecutar Netwalker.

Exfiltración de datos a través de servicios de intercambio de archivos

Una vez que los operadores de Netwalker se infiltran con éxito en la red de un objetivo comprometido, utilizan varias herramientas maliciosas para recopilar credenciales de administrador, para robar información confidencial que luego se utilizará como palanca para convencer al objetivo de que pague los rescates y para cifrar los datos de todos los dispositivos en la red.

Los delincuentes que utilizan Netwalker han subido previamente datos robados al servicio de intercambio de archivos y almacenamiento en la nube MEGA, cargando los datos a través de su sitio web o instalando la aplicación cliente directamente en la computadora de la víctima. En junio de 2020, los actores pasaron de cargar y liberar datos robados en MEGA a cargarlos en otro servicio de intercambio de archivos: web.dropmefiles.com.

Descifrador de NetWalker

Desde septiembre de 2019, el MO en lo que respecta al comportamiento de pago cambió. Cuando una víctima de NetWalker pide "soporte técnico" y paga el rescate exigido por el grupo, podrá descargar el descifrador para limpiar su entorno. La descarga del descifrador se realiza directamente desde el sitio NetWalker TOR (hxxp://rnfdsg[ELIMINADO]rqqd.onion/ o hxxp://pb36hu[ELIMINADO]3did.onion/), donde la página de pago cambia a una página de descarga que certifica que el pago se realizó y se recibió.

El descifrador se entrega en un archivo ZIP que contiene el ejecutable del descifrador y una nota que explica cómo ejecutar el programa correctamente. El programa lanza una interfaz gráfica que permite al usuario descifrar su estación de trabajo de forma automática o manual.

Al final del proceso de descifrado, el programa indica la cantidad de archivos descifrados, borra la nota de rescate si el usuario ha marcado esa opción y termina, dejando que el usuario reanude su trabajo tranquilamente.

 Fuente: Heindal | BC | Mcafee