NetWalker poate infecta în doar o oră sisteme cu date privind COVID-19

În timpul atacului, infractorii cibernetici au folosit instrumentele Cobalt Strike, ProcDump, Mimikatz etc.

Specialiștii proiectului de securitate cibernetică The DFIR Report au publicat detaliile unui atac cu ransomware-ul NetWalker asupra unui honeypot.

Programul malițios a intrat într-un honeypot (mecanism pentru detectarea sau respingerea incercarilor de utilizare neautorizata a sistemelor) al celor de la The DFIR Report, iar cercetătorii au avut astfel posibilitatea de a-l studia, descrie și…cronometra!

Modus operandi

În timpul atacului, operatorii malware-ului s-au conectat la sistem prin RDP, au lansat beacon-ul Cobalt Strike și apoi au extras datele de memorie folosind instrumentele ProcDump și Mimikatz. Apoi au obținut acces prin RDP la controlerul de domeniu și, folosind instrumentul PsExec, au lansat ransomware-ul NetWalker. Întregul proces malițios a durat aproximativ 1 oră.

Timpii de lucru ai NetWalker

Potrivit cercetătorilor, atacul a fost efectuat de pe adresa IP 198.181.163 [.] 103 (probabil IPVanish VPN).

Atacatorii s-au conectat la contul de administrator de domeniu și au descărcat scripturile c37.ps1 și c37.exe. Primul script, cel mai probabil Cobalt Strike, a rulat aproximativ 16 minute. Analiza a arătat că acesta ar fi putut conține și programele malițioase Windshield sau SplinterRAT. Deoarece scriptul nu a inițiat nicio conexiune la rețea, experții nu au putut afla dacă acestea funcționează sau nu.

La scurt timp după c37.ps1, atacatorii au lansat un al doilea script, c37.exe. Acesta se copiază în folderul temp și apoi se oprește. Acest fișier conținea virusul Neshta.

Împreună cu scripturile de mai sus, au fost încărcate pe sistem instrumentul AdFind și scripturile adf.bat și pcr.bat.

În etapa următoare, au fost încărcate și lansate pe sistem utilitățile Mimikatz și Procdump.

După obținerea credențialelor, atacatorii au obținut acces RDP la controlerul de domeniu și au descărcat ip.list.txt, P100119.ps1 și instrumentul PsExec. Acesta din urmă a fost folosit pentru a accesa sistemul cu drepturi de administrator de domeniu.

Apoi operatorii, folosind o comandă PowerShell, au lansat ransomware-ul și au lăsat mesajul de răscumpărare.

Inițial, infractorii cibernetici au cerut 50.000 de dolari pentru recuperarea fișierelor. Suma trebuia plătită în termen de 7 zile, altfel aceasta ar fi crescut la 100.000 de dolari.

Mesajul de răscumpărare

În final, specialiștii au reușit să reducă suma de răscumpărare la 35.000 de dolari. Din fericire, de această dată, NetWalker a rulat pe un honeypot.

image

La începutul lunii iunie însă, operatorii ransomware-lui Netwalker au atacat Universitatea din California, San Francisco (UCSF), reușind să cripteze date importante pentru această instituție academică. Universitatea, lider în cercetarea COVID-19, a decis să plătească infractorilor cibernetici o răscumpărarea în valoare de 1,14 milioane dolari. Infractorii cibernetici ceruseră inițial suma de 3 milioane de dolari.

La 04.08 a.c., Interpol a publicat o analiză a impactului pandemiei COVID-19 asupra criminalității informatice, evidențiind creșterea volumului de informații false și neverificate (fake news).

De asemenea, au crescut cazurile de utilizare a trojenilor și a altor viruși creați pentru colectarea de date și golirea conturilor bancare.

Atacurile DDoS și utilizarea programelor malițioase ce blochează stațiile de lucru în vederea deblocării contra răscumpărării au devenit mult mai frecvente. Buletinele informative false pe tema coronavirusului sunt de asemenea utilizate ca momeală. Interpol indică un volum crescut de informații false și neverificate (fake news), care se răspândesc în societate pe fondul fricii și incertitudinii legate de pandemie.

La pachet cu dezinformarea, infractorii cibernetici folosesc diferite scheme frauduloase pentru a-și vinde produsele medicale contrafăcute. Astfel, 14% din numărul total de sesizări venite din partea partenerilor organizației au fost legate de acest subiect.

Leave a Reply

Your email address will not be published. Required fields are marked *