Ransomware NetWalker continúa atacando grandes organizaciones

28 Octubre 2020
Alto

¿Qué es Netwalker ransomware? 

NetWalker, apareció por primera vez en agosto de 2019. En su versión inicial, el ransomware se llamaba Mailto pero cambió su nombre a NetWalker a finales de 2019. El ransomware funciona como un RaaS (Ransomware-as-a-Service) de acceso cerrado y exclusivo, donde quienes solicitan su compra deben registrarse y pasar por un proceso de verificación después del cual se les otorga acceso a un portal web donde pueden crear versiones personalizadas del malware.
 

Vectores de ataque evidenciados 

  • Correos electrónicos de phishing que entregan un cargador de Visual Basic Scripting (VBS). 
  • Desde abril de 2020, los operadores de ransomware Netwalker comenzaron a explotar vulnerabilidades de diversas VPN. 
  • Componentes de la interfaz de usuario en las aplicaciones web. 
  • Contraseñas débiles del protocolo de escritorio remoto (RDP) para acceder a las redes de sus víctimas.
  • Actualizaciones de software falso e instaladores infectados.

Aunque Netwalker es relativamente reciente, ya ha aparecido en ataques exitosos contra múltiples organizaciones. Y en medio de la pandemia de coronavirus, destacó por utilizar correos electrónicos relacionados con temas relacionados a COVID-19 para jugar con los miedos naturales que generó la crisis sanitaria y potencialmente infiltrarse en más redes.
 

Descripción general de Netwalker ransomware 

Netwalker generalmente se dirige a las empresas y las víctimas corporativas, infiltrándose en las redes y extendiéndose a todos los terminales con sistema operativo Windows que encuentre conectados.  

El malware sigue activo y se considera altamente peligroso ya que incorpora mecanismos avanzados anti-detección y persistencia. Ha implementado las mismas TTPs de extorsión evidenciadas a fines de 2019 por otras variantes de ransomware, cuya caracteristica es comprometer nuestra información y así asegurar el pago, en donde, previo al cifrado de sus datos exfiltran todos sus archivos hacia servidores de almacenamiento a fin de tener un medio de extorsión; comprometiendo así la confidencialidad de sus activos.


 

Netwalker tiene varias características avanzadas. Por ejemplo, los expertos informan que este malware utiliza el process hollowing, una técnica que permite a los atacantes ejecutar el malware mientras se pone en forma con un proceso legítimo, "explorer.exe" en el caso de Netwalker. Por lo tanto, el malware no se puede detectar simplemente mirando la lista de procesos, ya que no desencadena la aparición de ningún proceso sospechoso. 

El malware también puede copiarse en subcarpetas "AppData" y utiliza una clave del registro para iniciarse automáticamente y sobrevivir reinicios del sistema, logrando la persistencia en el sistema infectado. 

Además, Netwalker cuenta con ofuscación de código para complicar el análisis estático de los ejemplos. El malware codifica todas las cadenas en su código fuente para evitar que los analistas de leer fácilmente su código. 

 

Portal de filtraciones

Una de las razones por las que los operadores de ransomware NetWalker han sido tan populares, también se debe a su "portal de filtraciones", un sitio web donde publican los nombres y datos de las víctimas que se niegan a pagar su demanda de rescate.

El sitio opera en base a principios simples y es uno de los muchos sitios similares de fuga de ransomware.

  • Una vez que un afiliado de NetWalker viola una red, primero roban los datos confidenciales de una empresa y luego cifran los archivos.
  • Si la víctima se niega a pagar para descifrar archivos durante las negociaciones iniciales, los operadores de ransomware crean una entrada en su sitio de fuga.
  • La entrada tiene un temporizador, y si la víctima aún se niega a pagar, los operadores de ransomware filtran los archivos que robaron de la red de la víctima.

NetWalker amenaza con la divulgación de los datos exfiltrados de sus víctimas como parte estándar de todos sus ataques, contando con un sitios web particular para dichas filtraciones, por lo que herramientas de descifrado no serían tan efectivas si lo que queremos es resguardar nuestros datos de ser vistos por terceros.


 

¿Quién está detrás de NetWalker?

El grupo detrás de las campañas de este malware es conocido como:

  • Mailto Group
  • Kazkavkovkiz
  • Kokoklock
  • Netwalker Group
  • Bugatti
  • CIRCUS SPIDER

Sus motivaciones son claramente financieras y sus objetivos se focalizan principalmente en organizaciones gubernamentales, entidades educativas, empresas privadas y agencias de salud.
Netwalker se hizo ampliamente reconocido en marzo de 2020, después de las intrusiones en una empresa australiana de transporte y logística y una organización de salud pública de EE.UU.".
 

Campañas más connotadas evidenciadas en 2020

  • 17 de marzo 2020, Comenzó la campaña de malspam referenciando a temas de COVID-19.
  • 1 de junio 2020, Netwalker lanzó un ataque contra la Facultad de Medicina de la Universidad de California, San Francisco, EE.UU.
  • 27 de agosto de 2020, el ransomware Netwalker cifró los sistemas de la Dirección Nacional de Migraciones de la Argentina, que detuvo el cruce fronterizo durante 4 horas.
  • 19 de octubre 2020, Netwalker afecta al grupo Enel, comprometiendo información de sucursales en Chile, Colombia, Italia, Francia, Grecia, Romania.
     

Panorama

A medida que ransomware siga entregando indicadores como un modelo de negocio lucrativo, los actores maliciosos continuarán trabajando por generar nuevas variantes más complejas de detectar, dirigidas a víctimas VIP de las organizaciones en las que la disponibilidad sea escencial para su negocio como los son aquellas que componen la infraestructura crítica de los países.

Los actores han mostrado su disposición a actualizar continuamente sus códigos, agregando nuevos módulos para aumentar el movimiento lateral y la filtración de datos. Se prevé que para fines de 2020, aumente vertiginosamente las variantes de ransomware.

Mantenemos nuestra apreciación respecto a ransomware informada a principios de julio de 2020

Con base en la información analizada y con el objetivo de disminuir los posibles riesgos a los que se pueden ver afectados los activos de información de su organización, el equipo del Centro de Ciberinteligencia recomienda:

Líneas generales

  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.9.2 “Gestión de acceso de usuarios” o NIST PR.AC-4, enfocada en la “Gestión de los permisos de acceso y autorizaciones, incorporando los principios de menor privilegio y segregación de funciones”.
  • Gestionar la migración o reemplazo de equipos con sistemas operativos obsoletos (Windows Server 2000, Server 2003) esto debido a que actualmente no poseen soporte de Microsoft y pueden ser explotados con mayor facilidad.
  • Tener un plan de acción para la migración de sistemas operativos con “fin de soporte”.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.
  • Mantener y mejorar el constante trabajo sobre las actualizaciones de seguridad de los diferentes productos asociados a sus activos, el que debe realizarse de forma periódica.

Explotación de Vulnerabilidades

  • En caso de no tener un impacto en la operación del negocio, desactive el protocolo Server Message Block versión 1 (SMBv1), el cual está habilitado por defecto en Sistemas Operativos de Microsoft Windows, esto debe realizarse incluso si ya instaló los parches de seguridad correspondientes.
  • Bloquear el acceso a los puertos SMB desde internet, el protocolo opera en los puertos TCP 137, 139 y 445, como en los puertos UDP 137 y 138.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. Habilitar la autenticación de nivel de red (NLA).
  • Se deben generar políticas de seguridad asociadas al uso de puertos críticos en dispositivos que aceptan conexiones desde el exterior, puertos FTP/SSH/TELNET abiertos que podría generar una brecha en la seguridad para la organización. Como primera recomendación bloquear los puertos mencionados, en caso de no ser necesario su utilización y cambiar las credenciales predeterminadas de los dispositivos IoT.

Ransomware

  • Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
  • Proteger el protocolo RDP:
    • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
    • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
    • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
    • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
    • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
    • Habilitar la autenticación de nivel de red (NLA).
  • Si quiere restringir quién puede acceder a tu equipo, elija permitir el acceso solo con Autenticación a nivel de red (NLA). Cuando se habilita esta opción, los usuarios deben autenticarse en la red antes de conectarse a tu equipo. Permitir conexiones solo desde equipos que ejecutan Escritorio remoto con NLA es un método de autenticación más seguro que puede ayudar a proteger el equipo de usuarios y software malintencionados.

Tags: #netwalker #ransomware #enel #extorsion


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.