自2020年3月以来,NetWalker勒索软件团伙已经赚了2500万美元

2020-08-03 23:53:58

安全公司McAfee今天表示,自今年3月以来,NetWalker勒索软件的运营商据信已从赎金支付中赚取了超过2500万美元。

虽然没有准确和最新的统计数据,但2500万美元的数字使NetWalker与其他知名公司如Ryuk、Dharma和Revil(Sodinokibi)一样,接近当今已知的最成功的勒索软件团伙的榜首。

根据联邦调查局的说法,到目前为止,Ryuk是过去6年多来最赚钱的勒索软件团伙https://t.co/g3pJVxm0hj RSA Talk:https://t.co/Lo7vcz0MsM pic.twitter.com/OtMGBFAoUR。

-Catalin Cimpanu(@campuscodi)2020年3月3日。

McAfee最近发布了一份关于NetWalker运营的综合报告,能够追踪受害者向与勒索软件团伙有关的已知比特币地址支付的款项。

然而,安全专家认为,该团伙本可以从他们的非法行动中赚取更多利润,因为他们的观点并不完整。

NetWalker作为勒索软件菌株,最早出现在2019年8月。在最初的版本中,该勒索软件名为mailto,但在2019年底更名为NetWalker。

勒索软件作为封闭访问的RAAS运行--一个勒索软件即服务门户。其他黑客团伙注册并通过审查程序,之后他们被授予访问门户网站的权限,在那里他们可以构建勒索软件的自定义版本。

分发留给这些被称为附属公司的第二级帮派,每个团体在他们认为合适的时候部署它。

通过这一审查过程,NetWalker最近开始选择专门针对高价值实体网络进行有针对性攻击的附属公司,而不是那些专门从事大规模分发方法(如利用工具包或电子邮件垃圾邮件)的附属公司。

原因是,与规模较小的公司相比,由于规模较大的公司在倒闭期间损失了更多利润,针对大公司的精确和外科入侵使得该团伙可以索要更高的赎金要求。

根据记者今年早些时候在黑客论坛上发现的一则广告,NetWalker的作者似乎更青睐能够通过网络攻击-对RDP服务器、网络设备、VPN服务器、防火墙等-执行入侵的附属公司。值得注意的是,NetWalker的作者布加迪(Bugatti)只对雇佣会说俄语的客户感兴趣。

McAfee专家表示,从历史上看,NetWalker曾通过利用Oracle WebLogic和Apache Tomcat服务器中的漏洞、通过具有弱凭据的RDP端点进入网络或通过重要公司的鱼叉式网络钓鱼员工来实施入侵。

但根据联邦调查局上周发布的一份警报,最近,该组织还利用Pulse secure VPN服务器(CVE-201911510)和使用Telerik UI组件(CVE-2019年-18935)的网络应用程序进行了攻击,以使其武器库多样化。

同一警报还警告美国公司和政府组织确保更新他们的系统,因为该局看到NetWalker团伙的活动有所增加,该团伙甚至攻击了一些政府网络。

目前,NetWalker最引人注目的受害者是密歇根州立大学(Michigan State University),该组织在5月下旬感染了密歇根州立大学(Michigan State University),这是美国几所大学发生的多起入侵事件的一部分。

然而,McAfee表示,NetWalker也给全球各地的公司带来了风险,而不仅仅是美国或西欧,后者是NetWalker的另一个常规猎场。

根据勒索软件识别服务ID-ransomware向ZDNet提供的统计数据,NetWalker的活动近几个月来一直在增加,这表明其RAAS门户在地下网络犯罪中大受欢迎。

随着超过2500万美元的赎金收入,NetWalker的人气肯定会变得更高。

该团伙如此受欢迎的原因之一,也是因为它的泄密门户网站,该团伙在这个网站上发布名字,并公布拒绝支付赎金的受害者的数据。

该网站基于简单的原则运作,是许多类似的此类勒索软件泄露网站之一。

一旦NetWalker的附属机构侵入网络,他们就会首先窃取公司的敏感数据,然后加密文件。

如果受害者在最初的谈判中拒绝支付解密文件的费用,勒索软件团伙就会在他们的泄密网站上创建一个条目。

该条目有一个计时器,如果受害者仍然拒绝付款,该团伙就会泄露他们从受害者的网络中窃取的文件。

该网站帮助NetWalker给受害者带来了额外的压力,许多人担心知识产权或敏感用户数据在网上泄露,而另一些人则担心自己的名字在媒体上蒙羞,因为该网站及其最新的受害者经常在新闻文章中被引用,许多公司愿意花钱,只是为了一开始就不把自己的名字列在上面。