Netwalker a atacat cel mai mare furnizor de energie din Pakistan

La 7 septembrie a.c., compania pakistaneză K-Electric a fost supusă unui atac cibernetic ce a condus la compromiterea serviciilor sale online și la imposibilitatea facturării clienților.

image

Cea mai mare companie privată de energie din Pakistan, K-Electric, a fost victima ransomware-ului Netwalker. Potrivit publicației Bleeping Computer, furnizorul a fost supus unui atac cibernetic, în urma căruia facturarea și serviciile online ale companiei au încetat să mai funcționeze.

Se pare că incidentul nu a afectat furnizarea energiei electrice.

Conform paginii lor de pe darknet, atacatorii cer o răscumpărare de 3,85 milioane de dolari. Dacă compania nu plătește banii în termen de șapte zile, suma va fi dublată la 7,7 milioane de dolari.

Tor payment page for K-Electric

Membrii grupării susțin, de asemenea, că au furat fișierele necriptate ale companiei, însă site-ul Netwalker nu oferă informații cu privire la volumul și natura documentelor furate.

Pagina Netwalker de pe darknet arată ca un site obișnuit de servicii clienți, cu pagină de întrebări frecvente (FAQ). Ba chiar oferă un eșantion “gratuit” de software, existând și un chat în timp real. Pagina are, de asemenea, un cronometru special care măsoară timpul rămas până la momentul în care hackerii fie dublează prețul răscumpărării, fie șterg datele furate.

De la 1 martie a.c., operațiunile grupării Netwalker au generat un total de 25 de milioane de dolari, bani rezultați ca plăți de răscumpărare, potrivit unui raport McAfee.

Netwalker este o operațiune de tipul Ransomware-as-a-Service (RaaS) care a început să funcționeze la sfârșitul anului 2019. Afiliații sunt angajați să distribuie ransomware-ul și să infecteze victimele în schimbul a 60-70% din plățile de răscumpărare.

NetWalker poate infecta în doar o oră sisteme cu date privind COVID-19

În timpul atacului, infractorii cibernetici au folosit instrumentele Cobalt Strike, ProcDump, Mimikatz etc.

Specialiștii proiectului de securitate cibernetică The DFIR Report au publicat detaliile unui atac cu ransomware-ul NetWalker asupra unui honeypot.

Programul malițios a intrat într-un honeypot (mecanism pentru detectarea sau respingerea incercarilor de utilizare neautorizata a sistemelor) al celor de la The DFIR Report, iar cercetătorii au avut astfel posibilitatea de a-l studia, descrie și…cronometra!

Modus operandi

În timpul atacului, operatorii malware-ului s-au conectat la sistem prin RDP, au lansat beacon-ul Cobalt Strike și apoi au extras datele de memorie folosind instrumentele ProcDump și Mimikatz. Apoi au obținut acces prin RDP la controlerul de domeniu și, folosind instrumentul PsExec, au lansat ransomware-ul NetWalker. Întregul proces malițios a durat aproximativ 1 oră.

Timpii de lucru ai NetWalker

Potrivit cercetătorilor, atacul a fost efectuat de pe adresa IP 198.181.163 [.] 103 (probabil IPVanish VPN).

Atacatorii s-au conectat la contul de administrator de domeniu și au descărcat scripturile c37.ps1 și c37.exe. Primul script, cel mai probabil Cobalt Strike, a rulat aproximativ 16 minute. Analiza a arătat că acesta ar fi putut conține și programele malițioase Windshield sau SplinterRAT. Deoarece scriptul nu a inițiat nicio conexiune la rețea, experții nu au putut afla dacă acestea funcționează sau nu.

La scurt timp după c37.ps1, atacatorii au lansat un al doilea script, c37.exe. Acesta se copiază în folderul temp și apoi se oprește. Acest fișier conținea virusul Neshta.

Împreună cu scripturile de mai sus, au fost încărcate pe sistem instrumentul AdFind și scripturile adf.bat și pcr.bat.

În etapa următoare, au fost încărcate și lansate pe sistem utilitățile Mimikatz și Procdump.

După obținerea credențialelor, atacatorii au obținut acces RDP la controlerul de domeniu și au descărcat ip.list.txt, P100119.ps1 și instrumentul PsExec. Acesta din urmă a fost folosit pentru a accesa sistemul cu drepturi de administrator de domeniu.

Apoi operatorii, folosind o comandă PowerShell, au lansat ransomware-ul și au lăsat mesajul de răscumpărare.

Inițial, infractorii cibernetici au cerut 50.000 de dolari pentru recuperarea fișierelor. Suma trebuia plătită în termen de 7 zile, altfel aceasta ar fi crescut la 100.000 de dolari.

Mesajul de răscumpărare

În final, specialiștii au reușit să reducă suma de răscumpărare la 35.000 de dolari. Din fericire, de această dată, NetWalker a rulat pe un honeypot.

image

La începutul lunii iunie însă, operatorii ransomware-lui Netwalker au atacat Universitatea din California, San Francisco (UCSF), reușind să cripteze date importante pentru această instituție academică. Universitatea, lider în cercetarea COVID-19, a decis să plătească infractorilor cibernetici o răscumpărarea în valoare de 1,14 milioane dolari. Infractorii cibernetici ceruseră inițial suma de 3 milioane de dolari.

La 04.08 a.c., Interpol a publicat o analiză a impactului pandemiei COVID-19 asupra criminalității informatice, evidențiind creșterea volumului de informații false și neverificate (fake news).

De asemenea, au crescut cazurile de utilizare a trojenilor și a altor viruși creați pentru colectarea de date și golirea conturilor bancare.

Atacurile DDoS și utilizarea programelor malițioase ce blochează stațiile de lucru în vederea deblocării contra răscumpărării au devenit mult mai frecvente. Buletinele informative false pe tema coronavirusului sunt de asemenea utilizate ca momeală. Interpol indică un volum crescut de informații false și neverificate (fake news), care se răspândesc în societate pe fondul fricii și incertitudinii legate de pandemie.

La pachet cu dezinformarea, infractorii cibernetici folosesc diferite scheme frauduloase pentru a-și vinde produsele medicale contrafăcute. Astfel, 14% din numărul total de sesizări venite din partea partenerilor organizației au fost legate de acest subiect.

Dezvoltator al vaccinului împotriva COVID-19, atacat de infractori cibernetici

image

O grupare de criminalitate informatică, cunoscută pentru atacuri asupra unităților medicale, a atacat cu ransomware Universitatea din California, San Francisco (UCSF).

Administrația universității a confirmat pentru redacția Bloomberg că a fost victima unei „intruziuni ilegale”, fără să specifice ce parte infrastructurii IT a fost afectată.

In Statele Unite, experții UCSF sunt printre liderii dezvoltării tratamentului pentru infecția cu coronavirus. Potrivit lui Peter Farley, șeful departamentului de relații publice al universității, studiile realizate cu participarea pacienților nu au fost afectate de atacul cibernetic. Administrația UCSF a raportat imediat incidentul instituțiilor de ordine și a apelat la experți în domeniul cibersecurității pentru ajutor.

„Cu sprijinul experților cyber security efectuăm o analiză minuțioasă a incidentului pentru a afla ce informații ar fi putut fi compromise”, a spus Peter Fairley, adăugând că nu poate dezvălui niciun detaliu cât timp ancheta este în desfășurare.

Se pare că atacatorii au criptat datele UCSF și au cerut o răscumpărare pentru recuperarea acestora. Plata trebuie făcută înainte de 8 iunie 2020,  iar în caz de neplată, atacatorii au promis că vor publica „datele secrete” ale UCSF. Nu se cunoaște suma cerută de infractorii cibernetici. Cel mai probabil, universitatea a devenit victimă a ransomware-ului Netwalker, utilizat frecvent de infractori începând cu luna septembrie 2019.

Conform enciclopediei de atacuri cibernetice Malpedia, în prezent, atacul tip ransomware nu mai reprezintă un eveniment unic, cum a fost Wannacry în anul 2017. Acum, infractorii dispun de proceduri și seturi de instrumente bine stabilite pe care le folosesc în mod repetat.

Atacurile sunt de obicei mai lungi: atacatorii rămân zile sau chiar săptămâni în rețelelor victimelor, urmărind cu atenție informațiile prețioase. Comparativ cu alte grupări ransomware, operatorii Netwalker se bazează mai puțin pe instrumente proprii, cea mai mare parte a setului de tooluri fiind colectate din domeniul public. Astfel, aceștia economisesc timp, chiar dacă o fac în dauna originalității. Cunoștințele privind tactica și instrumentele atacatorilor îi ajută acum pe experții din domeniu să-și pregătească abordări eficiente în combaterea agresiunilor de acest tip.

Sursa:https://exploit.in/2020/13262/