von Gustav Elkjær Rødsgaard, Junior Security Analyst

Circus Spider, eine Gruppierung von Cyberkriminellen, hat im Jahr 2019 die Ransomware-Variante NetWalker entwickelt – speziell für Windows. Diese Ransomware verschlüsselt alle Daten und exfiltriert sie. Sie wird entweder durch Phishing oder VBScripts verbreitet und zielt speziell auf Organisationen des Gesundheitswesens ab.

Während der Pandemie waren die NetWalker-Mitglieder sehr aktiv. Eine für die meisten Menschen besonders schwierige Zeit war für diese Gruppierung besonders lukrativ. Nach Schätzungen der US-Sicherheitsbehörde CISA haben die Cyberkriminellen zwischen März und September 2020 rund 25 Millionen US-Dollar an Lösegeldern erpresst. Was wissen wir über NetWalker? Welchen Ursprung haben die Kriminellen und welche Taktiken setzen sie ein? Und wie können Sie sich und Ihre Organisation schützen?

Die Geschichte von NetWalker

Ein guter Ausgangspunkt ist ein kurzer in die Vergangenheit. NetWalker, ursprünglich bekannt als Mailto, ist eine Ransomware, die von der Cybercrime-Gruppierung Circus Spider entwickelt wurde. Erstmals im September 2019 entdeckt, wird NetWalker nach dem RaaS-Modell betrieben und trägt als Zeitstempel der Kompilierung den 28. August 2019.

Im Laufe ihres Bestehens hat diese kriminelle Gruppierung rund um die Ransomware NetWalker in erster Linie Organisationen des Gesundheitswesens ins Visier genommen und dabei die Covid-19-Pandemie ausgenutzt. Die Mitglieder fungierten als „Big Game Hunters“ und zielten vorwiegend auf größere Organisationen ab, die sie über (Spear-)Phishing angriffen. Andere Bereiche wie die verarbeitende Industrie, Anbieter betriebswirtschaftlicher Lösungen, Service-Organisationen, Anbieter von Elektromobilität und Batterielösungen sowie das Bildungswesen gerieten ebenfalls ins Visier der NetWalker-Mitglieder, allerdings mit weniger Erfolg.

NetWalker setzt auf ein Affiliate-Programm, wobei die Interessenten überprüft werden bevor sie akzeptiert werden. Die Ransomware-Forderungen dieser Affiliates reichten von 1.000 bis 3.000.000 US-Dollar. Dabei kam eine doppelte Erpressungstaktik zum Einsatz: Die NetWalker-Affiliates forderten zum einen Geld für die Entschlüsselung der Dateien, und zum anderen dafür, die exfiltrierten Daten nicht preiszugegeben.

Die Taktiken und Techniken, die NetWalker-Affiliates zur Verbreitung der Ransomware nutzen

Die Betreiber der NetWalker-Ransomware zielen darauf ab, Daten zu exfiltrieren, Backups zu löschen, die Daten einer Organisation zu verschlüsseln und diese offenzulegen. Hierfür nutzen sie das TOR-Netzwerk, eine Möglichkeit zur Wahrung der Anonymität, und liefern Belege für die exfiltrierten Daten, um eine Organisation zu erpressen.

Zu den gängigen TTPs zählt die Nutzung von Command and Scripting Interpretern wie beispielsweise PowerShell (T1059.001). NetWalker ist in PowerShell geschrieben und wird direkt im Speicher ausgeführt, um eine Entdeckung zu vermeiden. Die Cyberkriminellen nutzen auch Windows Management Instrumentation (T1047), um Shadow-Volumes zu löschen. Die vollständige Liste der von NetWalker verwendeten TTPs finden Sie auf der Website von MITRE.

Wie bereits erwähnt, waren Organisationen des Gesundheitswesens eines der Hauptziele. Die Ransomware NetWalker wurde und wird in der Regel auf zwei Arten verbreitet. Der eine Weg führt über VBScript, das beispielsweise den Phishing-E-Mails zum Corona-Virus beigefügt ist. Bei dieser Methode wird die Payload der Ransomware mit einem Doppelklick oder beim Öffnen von Dokumenten, die VBScript enthalten, ausgeführt. Eine weitere gängige Methode zur Verbreitung der Ransomware NetWalker sind ausführbare Dateien im Netzwerk. Gängige Tools, die von NetWalker-Affiliates verwendet werden, sind Mimikatz, PSTools, AnyDesk, TeamViewer und NLBrute.

Der initiale Zugriffsmechanismus für die Ransomware NetWalker enthält laut Intezer gemeinsamen Code von Neshta, poison, BazarBackdoor, XMRig sowie einen großen Anteil von Cobalt Strike.

Lorien Health Services konnte sich nicht vor NetWalker schützen

Ein wirklich schädigender Vorfall war der Ransomware-Angriff auf Lorien Health Services, von dem rund 50.000 Personen betroffen waren. Die NetWalker-Affiliates hatten Zugriff auf personenbezogene Informationen, darunter Namen, Sozialversicherungsnummern, Geburtsdaten, Adressen, Gesundheitsdiagnosen und Behandlungen erlangt. Darüber hinaus haben die Kriminellen auch auf Mitarbeiterdaten zugegriffen.

Letztendlich haben die NetWalker-Affiliates Loriens Daten durchsickern lassen. Das FBI veröffentlichte am 28. Juli 2020 eine Warnmeldung zu Ransomware-Angriffen mit NetWalker. In dieser FBI-Warnung hieß es, man habe Meldungen über NetWalker-Angriffe auf US-amerikanische und ausländische Regierungsorganisationen, Bildungseinrichtungen, Privatunternehmen und Gesundheitsbehörden erhalten. Weithin bekannt wurde NetWalker im März 2020 nach Angriffen auf ein australisches Transport- und Logistik-Unternehmen sowie eine US-amerikanische Gesundheitsorganisation. Seither haben die NetWalker-Affiliates die Covid-19-Pandemie genutzt, um eine wachsende Zahl weiterer Organisationen und Gesundheitseinrichtungen zu kompromittieren.

So können Sie sich als Unternehmen vor der Ransomware NetWalker schützen

Da die Covid-19-Pandemie immer noch andauert, sollten Sie sich darüber im Klaren sein, dass die NetWalker-Mitglieder auch weiterhin Ransomware-Kampagnen durchführen und über Phishing-E-Mails verbreiten werden. Wenn Sie Ihre Kollegen und Mitarbeiter über die gängigen Merkmale von Phishing-E-Mails aufklären, können Sie schon zum Schutz Ihres Unternehmens beitragen.

NetWalker-Mitglieder nutzen die Schwachstellen der IT-Infrastruktur eines Unternehmens aus. So können Sie sich schützen:

  • Stellen Sie sicher, dass Ihre Backups für kritische Daten funktionieren und offline gespeichert werden.
  • Gewährleisten Sie, dass Backups nicht geändert und gelöscht werden können.
  • Nutzen Sie eine Zwei-Faktor-Authentifizierung.
  • Halten Sie Ihr Antiviren- und Anti-Malware-Programme auf dem aktuellsten Stand.
  • Nutzen Sie sichere Verbindungen, wie beispielsweise VPN.
  • Halten Sie Ihre Geräte und Softwareanwendungen auf dem neuesten Stand.

Nutzen Sie auch die in diesem Blog-Beitrag vorgestellten Warnmeldungen zum zusätzlichen Schutz vor NetWalker. Sie können diese LogPoint-Alerts ausführen, wenn Sie vermuten, dass Sie Opfer einer Schwachstelle oder einer Phishing-Kampagne im Zusammenhang mit NetWalker geworden sind.

So erkennen Sie NetWalker mit LogPoint

Die folgenden Informationen sollen Ihnen einen Eindruck davon vermitteln, wie LogPoint zum Schutz Ihrer Unternehmensdaten beitragen kann.

Logdaten-Quellen: Windows Sysmon, Windows Server-Logdaten

NetWalker ergänzt Windows Registry-Keys, um auf den Zielsystemen zu verbleiben (Persistenz). Mit den Sysmon-Logdaten können Sie Änderungen an der Windows Registry überwachen.

Suchanfrage:

norm_id = WindowsSysmon label = Registry target_object = 
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*"  | process
 regex("HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\(?P[
a-zA-Z0-9]{8})$", target_object) | chart count() by log_ts, user, host, target_object,
 EightString, detail

Es wurde mehrfach beobachtet, dass NetWalker-Mitglieder vssadmin zum Löschen von Schattenkopien verwenden. Mit den Windows Server-Logdaten können Sie eine Warnmeldung erstellen, um die Verwendung von vssadmin zu erkennen.

Suchanfrage: Erkennung der Löschung von Schattenkopien, möglicherweise von Ransomware verursacht:

norm_id=WindowsSysmon event_id=1 command IN ["*vssadmin* delete shadows*", "*wmic*
 SHADOWCOPY DELETE*"] -user IN EXCLUDED_USERS

Wir konnten auch feststellen, dass NetWalker-Mitglieder 32-Bit-Explorer-Prozesse im Ordner SysWOW64 ausführen. Sie können die Prozesserstellung mit Windows Sysmon erkennen, wie untenstehend erläutert.

Suchanfrage:

norm_id = WindowsSysmon event_id = 1 image = "*SysWOW64\explorer.exe" | chart 
count() by log_ts, event_id, host, device_ip, path, "process", parent_process

Die Ransomware NetWalker hatte bereits viele verschiedene Ziele. LogPoint hat eine statische Liste von Hashes erstellt, die in früheren NetWalker-Angriffen verwendet wurden. Wie untenstehend erläutert, können Sie diese statische Liste zur Erkennung von NetWalker nutzen. Damit diese Warnung funktioniert, müssen Sie die Liste NETWALKER_HASHES in Ihrer LogPoint-Lösung nutzen.

Suchanfrage:

(hash IN NETWALKER_HASHES OR hash_sha1 IN NETWALKER_HASHES OR hash_sha256 IN 
NETWALKER_HASHES OR hash_import in NETWALKER_HASHES) | rename hash_sha1 as hash, hash_sha256 as hash,
 hash_import as hash | chart count() by log_ts, device_name, host,
 device_ip, hash