par Gustav Elkjær Rødsgaard, Junior Security Analyst
En 2019, Netwalker, un type de ransomware spécifique à Windows qui chiffre et exfiltre toutes les données qu’il récupère, a été créé par un groupe de cybercriminels appelé Circus Spider. Depuis lors, ce type de ransomware cible spécifiquement les organismes de santé et est généralement propagé soit par phishing, soit via VBScript.
Durant la pandémie, les affiliés du ransomware NetWalker ont été constamment actifs. Une période particulièrement vulnérable pour la plupart d’entre nous, s’est avérée être particulièrement lucrative pour eux. Entre mars et septembre 2020, la CISA a estimé qu’ils avaient collecté 25 millions de dollars de rançons. Alors, que savons-nous exactement du ransomware Netwalker, quelles sont ses tactiques, d’où vient-il et comment vous protéger, vous et votre entreprise ?
Les origines du ranswomare NetWalker
Avant tout, voici un bref rappel historique. NetWalker, d’abord connu sous le nom de Mailto, est un ransomware, créé par le groupe de cybercriminels appelé Circus Spider. Initialement découvert en septembre 2019, NetWalker fonctionne avec le modèle RaaS et a un horodatage au niveau de sa compilation remontant au 28 août 2019.
Depuis ses débuts, le ransomware NetWalker a principalement ciblé les organismes de santé tout en profitant de la pandémie de Covid-19 avec des affiliés opérant en tant que « Big Game Hunters », en ciblant de grandes organisations et en se propageant via (Spear)Phishing. D’autres secteurs tels que la fabrication, les solutions de gestion d’entreprise, la gestion de l’expérience client, l’électromobilité, les solutions pour batterie et l’enseignement ont également été ciblés avec moins de succès.
NetWalker utilise un programme affilié assez strict où les candidats sont contrôlés avant d’être acceptés. Les rançons exigées par les affiliés vont de 1 000 à 3 000 000 USD et ils utilisent des tactiques de double extorsion qui consistent à extorquer de l’argent pour déchiffrer les fichiers et ne pas divulguer les données exfiltrées.
Les tactiques et techniques utilisées par les affiliés pour diffuser le ransomware NetWalker
Le ransomware NetWalker a pour objectif d’exfiltrer les données, de supprimer les sauvegardes, de chiffrer les données d’une entreprise et d’exposer ces dernières en fournissant une preuve via le réseau TOR (un moyen de maintenir l’anonymat) de l’existence des données exfiltrées et, pour finir, d’extorquer l’entreprise en question.
L’une des TTP couramment utilisées est T1059.001 (Command and Scripting Interpreter) : PowerShell. En effet, NetWalker est écrit en PowerShell et exécuté directement en mémoire pour éviter la détection. Ils utilisent également la technique T1047 (Windows Management Instrumentation) pour supprimer les instantanés de volume (shadow volumes). Afin d’obtenir la liste complète des TTP utilisées par le ransomware NetWalker, rendez-vous sur le site de MITRE.
Comme nous l’avons mentionné précédemment, l’une des principales cibles était les organismes de santé. Le ransomware NetWalker était, et est, généralement diffusé de deux manières différentes. La première méthode consiste à intégrer VBScript aux emails de phishing concernant le coronavirus. Cette technique permet d’exécuter la charge virale du ransomware après un double-clic ou bien lors de l’ouverture de documents contenant le VBScript. Un autre moyen courant de propagation du ransomware NetWalker consiste à diffuser un fichier exécutable sur le réseau. Les outils couramment utilisés par les affiliés de NetWalker sont Mimikatz, PSTools, AnyDesk, TeamViewer et NLBrute.
Le mécanisme d’accès initial utilisé par le ransomware Netwalker contient du code partagé de Neshta, poison, BazarBackdoor, XMRig et une grande partie de Cobalt Strike, selon Intezer.
Lorien Health Services incapable de se défendre contre le ransomware NetWalker
L’un des incidents les plus dommageables causés par les affiliés de NetWalker a été l’attaque de ransomware lancée contre Lorien Health Services, qui a affecté environ 50 000 personnes. Les affiliés ont eu accès aux informations et données personnelles, lesquelles contenaient à priori les noms des résidents, les numéros de sécurité sociale, les dates de naissance, les adresses et des informations sur les diagnostics de santé et les traitements. De plus, les données des employés ont également été consultées.
Pour finir, NetWalker a divulgué les données de Lorien. Le FBI a émis une alerte flash pour avertir sur les attaques du ransomware NetWalker le 28 juillet 2020. L’alerte émise par le FBI précisait qu’ils avaient reçu des notifications d’attaques du ransomware NetWalker contre des organisations gouvernementales américaines et étrangères, des entités éducatives, des entreprises privées et des agences de santé. Ils ont également déclaré que NetWalker était devenu plus largement connu en mars 2020 après des intrusions dans une entreprise australienne de transport et de logistique et une organisation de santé publique américaine. Depuis lors, NetWalker a profité de la pandémie de Covid-19 pour compromettre un nombre croissant de victimes et d’organismes de santé.
Que faire en tant qu’entreprise pour vous protéger contre le ransomware NetWalker ?
Avec la pandémie de Covid-19 toujours en cours, il est conseillé de garder à l’esprit que les affiliés de NetWalker ont des campagnes actives dans lesquelles le ransomware est intégré au sein d’emails de phishing. Sensibiliser votre entreprise sur les caractéristiques les plus courantes de ces emails de phishing aidera à mieux la protéger.
Les affiliés de NetWalker profitent des vulnérabilités. Vous pouvez protéger votre entreprise de la manière suivante :
- Assurez-vous que les sauvegardes de vos données critiques fonctionnent et soient stockées hors ligne.
- Assurez-vous que les sauvegardes ne puissent pas être modifiées et supprimées.
- Utilisez l’authentification à deux facteurs.
- Maintenez votre antivirus et votre anti-malware à jour en installant la dernière version.
- Utilisez des connexions sécurisées, telles qu’un VPN.
- Maintenez à jour vos appareils et applications logicielles.
Avec Logpoint, vous pouvez implémenter les alertes présentées dans cet article de blog pour bénéficier d’une protection supplémentaire contre NetWalker. Elles peuvent être exécutées si vous pensez avoir été victime d’une vulnérabilité ou d’une campagne de phishing liée à NetWalker.
Détection de NetWalker avec Logpoint
Consultez les informations ci-dessous pour mieux comprendre comment Logpoint peut vous aider à protéger les informations et les données de votre entreprise.
Sources de log : Windows Sysmon, logs du serveur Windows.
NetWalker ajoute des clés de registre Windows pour établir une persistance au niveau des systèmes cibles. Avec les logs Sysmon, vous pouvez surveiller les modifications apportées au registre Windows.
Requête de recherche :
norm_id = WindowsSysmon label = Registry target_object =
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*" | process
regex("HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\(?P[
a-zA-Z0-9]{8})$", target_object) | chart count() by log_ts, user, host, target_object,
EightString, detailIl a également été observé que les affiliés de NetWalker utilisaient vssadmin pour supprimer les clichés instantanés (shadow copy). Avec les logs du serveur Windows, vous pouvez créer une alerte pour détecter l’utilisation de vssadmin.
Requête de recherche : ‘Possible Ransomware Deletion Volume Shadow Copies Detected’ :
norm_id=WindowsSysmon event_id=1 command IN ["*vssadmin* delete shadows*", "*wmic*
SHADOWCOPY DELETE*"] -user IN EXCLUDED_USERSNous avons également observé des affiliés NetWalker exécutant le processus Explorer 32-bits dans le dossier SysWOW64. Vous pouvez détecter la création de processus avec Windows Sysmon, comme indiqué ci-dessous.
Requête de recherche :
norm_id = WindowsSysmon event_id = 1 image = "*SysWOW64\explorer.exe" | chart
count() by log_ts, event_id, host, device_ip, path, "process", parent_processLe ransomware NetWalker a déjà ciblé de nombreuses victimes, c’est pourquoi Logpoint a dressé une liste statique des hachages utilisés lors des précédentes attaques NetWalker. Comme vous pouvez le voir ci-dessous, il est possible d’utiliser une telle liste pour détecter NetWalker. Pour que cette alerte fonctionne, vous devez avoir la liste NETWALKER_HASHES dans votre solution Logpoint.
Requête de recherche :
(hash IN NETWALKER_HASHES OR hash_sha1 IN NETWALKER_HASHES OR hash_sha256 IN
NETWALKER_HASHES OR hash_import in NETWALKER_HASHES) | rename hash_sha1 as hash, hash_sha256 as hash,
hash_import as hash | chart count() by log_ts, device_name, host,
device_ip, hash
