av Gustav Elkjær Rødsgaard, Junior Security Analyst

Under 2 019 skapades Netwalker, en typ av utpressningstrojaner som är Windows specifika och krypterar och exfiltrerar alla data den bryter mot, av en cyberbrottsgrupp kallad Circus Spider. Sedan dess har den här typen av utpressningstrojaner specifikt riktat in sig på hälso- och sjukvårdsorganisationer som har lyckats distribueras antingen genom nätfiske eller ett VBScript.

Under pandemin har NetWalkers medlemsförbund varit ständigt aktiva. En särskilt känslig tid för de flesta har varit särskilt lukrativ för dem. Mellan mars och september 2 020 uppskattade CISA att de hade samlat in 25 miljoner $ från lösensummor. Så vad vet vi om Netwalker, vad är taktiken, var kommer den ifrån och hur skyddar du dig själv och din organisation?

NetWalkers historia

En bra utgångspunkt är en kort historialektion. NetWalker, som först kallades Mailto, är en utpressningstrojan som skapats av cyberbrottsgruppen Circus Spider. NetWalker upptäcktes första gången i september 2 019 och drivs med RaaS-modellen. Den har en tidsstämpel för sammanställningen från 28 augusti 2 019.

NetWalker har under sin livstid främst riktat in sig på hälso- och sjukvårdsorganisationer samtidigt som man drar nytta av covid-19-pandemin med dotterbolag som verkar som ”Big Game Hunters” som riktar sig till större organisationer och distribueras via (Spear)Phishing. Andra branscher som tillverkning, affärshanteringslösningar, hantering av kundupplevelser, elektromobilitet, batterilösningar och utbildning har också haft som mål med mindre framgång.

NetWalker använder ett nära anknutet program där sökande verifieras innan de godkänns. Dotterbolagens krav på utpressningstrojaner har varierat från 1 000 $ till 3 000 000 $ och tillämpar dubbla utpressningstaktiker där dotterbolagen utpressar pengar för att okryptera filer och för att inte läcka exfiltrerade data.

Taktik och tekniker som används av NetWalkers dotterbolag för att sprida NetWalker Ransomware

Utpressningstrojanen NetWalker strävar efter att exfiltrera data, eliminera säkerhetskopior, kryptera en organisations data och exponera data genom att tillhandahålla bevis via TOR-nätverket (ett sätt att upprätthålla anonymitet) för exfiltrerade data och i slutändan utpressa organisationen.

Vanliga TTP:er är T1059 001 Kommando- och skripttolkning: PowerShell – NetWalker skrivs i PowerShell och exekveras direkt i minnet för att undvika detektering. De använder också tekniken T1047 Windows Management Instrumentation för att radera skuggvolymer. För en fullständig lista över TTP:er som används av NetWalker, se denna länk på MITRE.

Som vi tidigare nämnt var ett av huvudmålen hälso- och sjukvårdsorganisationer. Utpressningstrojanen NetWalker var och sprids ofta på två sätt. Det ena är via VBScript, som är bifogat till e-postmeddelanden om coronavirusets nätfiske (s k phishing). Med den här metoden körs nyttolasten för utpressningstrojanen när du dubbelklickar på den eller när du öppnar dokument som innehåller VBScript. Ett annat vanligt sätt som NetWalker-utpressningstrojaner sprids på är genom en körbar fil som sprids i nätverketVanliga verktyg som NetWalker-partner använder är Mimikatz, PSTools, AnyDesk, TeamViewer och NLBrute.

Den initiala åtkomstmekanismen för Netwalkers utpressningstrojaner innehåller en delad kod från Neshta, gift, BazarBackdoor, XMRig och en stor del av Cobalt Strike, enligt Intezer.

Lorien Health Services kan inte försvara sig mot NetWalker Ransomware

En av de mest skadliga incidenterna från NetWalker-dotterbolagen var ransomware-attacken mot Lorien Health Services, som drabbade ca 50 000 personer. Personuppgifter och data har hämtats av dotterbolagen och kan ha inkluderat invånares namn, personnummer, födelsedatum, adresser samt hälsodiagnos och behandlingsinformation. Dessutom fick man tillgång till medarbetardata.

NetWalker läckte till slut ut Loriens data. FBI utfärdade en blinkvarning för att varna om utpressningstrojaner från NetWalker den 28 juli 2 020. FBI-varningen uppgav att de har fått meddelanden om NetWalker-attacker mot amerikanska och utländska statliga organisationer, utbildningsenheter, privata företag och hälso- och sjukvårdsmyndigheter. Den uppgav också att NetWalker fick ett brett erkännande i mars 2 020 efter intrång i ett australiskt transport- och logistikföretag och en amerikansk offentlig hälso- och sjukvårdsorganisation. Sedan dess har NetWalker utnyttjat covid-19-pandemin för att kompromissa med ett ökande antal offer och hälso- och sjukvårdsorganisationer.

Vad du som organisation ska göra för att skydda dig mot utpressningstrojaner från NetWalker

Med tanke på att covid-19-pandemin fortfarande pågår rekommenderas det att vara medveten om att NetWalker-medlemmarna har pågående kampanjer som innehåller deras utpressningstrojaner i nätfiskemeddelanden. Genom att utbilda din organisation om de vanligaste egenskaperna hos nätfiskemeddelanden kan du skydda din organisation.

NetWalkers dotterbolag utnyttjar sårbarheter. Du kan skydda din organisation på följande sätt:

  • Se till att dina säkerhetskopior av kritiska data fungerar och lagras offline
  • Se till att säkerhetskopiorna inte kan ändras eller raderas
  • Använda tvåfaktorautentisering
  • Hålla dina antivirus- och antivirusprogram uppdaterade till den senaste versionen
  • Använda säkra anslutningar, t.ex. VPN
  • Hålla dina enheter och programvaror uppdaterade

Med Logpoint kan du implementera de varningar som presenteras i detta blogginlägg för ytterligare skydd mot NetWalker. De kan köras om du misstänker att du har utsatts för en sårbarhets- eller nätfiskekampanj relaterad till NetWalker.

Detekterar NetWalker med Logpoint

Titta på informationen nedan för att få en uppfattning om hur Logpoint kan hjälpa dig att skydda ditt företags information och data.

Loggkällor: Windows Sysmon, Windows serverloggar.

NetWalker lägger till Windows-registernycklar för uthållighet i målsystemen. Med Sysmon-loggar kan du övervaka ändringar i Windows-registret.

Sökfråga:

norm_id = WindowsSysmon label = Registry target_object = 
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*"  | process
 regex("HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\(?P[
a-zA-Z0-9]{8})$", target_object) | chart count() by log_ts, user, host, target_object,
 EightString, detail

NetWalker-dotterbolag har också setts använda vssadmin för att radera skuggkopior. Med Windows serverloggar kan du göra en varning för att upptäcka användning av vssadmin.

Sökfråga: Möjliga kopior av raderingsvolymskuggor för ransomware upptäckta:

norm_id=WindowsSysmon event_id=1 command IN ["*vssadmin* delete shadows*", "*wmic*
 SHADOWCOPY DELETE*"] -user IN EXCLUDED_USERS

Vi har också observerat NetWalker-dotterbolag som kör 32-bitars Explorer-process i SysWOW64-mappen. Du kan identifiera processskapande med Windows Sysmon, som visas nedan.

Sökfråga:

norm_id = WindowsSysmon event_id = 1 image = "*SysWOW64\explorer.exe" | chart 
count() by log_ts, event_id, host, device_ip, path, "process", parent_process

NetWalkers utpressningstrojaner har redan haft många mål, så Logpoint har gjort en statisk lista över hasher som använts i tidigare NetWalker-attacker. Som visas nedan kan man använda en statisk lista för att upptäcka NetWalker. För att denna Alert ska fungera måste du ha NETWALKER_HASHES-listan i din Logpoint-lösning.

Sökfråga:

(hash IN NETWALKER_HASHES OR hash_sha1 IN NETWALKER_HASHES OR hash_sha256 IN 
NETWALKER_HASHES OR hash_import in NETWALKER_HASHES) | rename hash_sha1 as hash, hash_sha256 as hash,
hash_import as hash | chart count() by log_ts, device_name, host,
device_ip, hash

Kontakta Logpoint

Kontakta oss och få information om varför branschledande företag väljer Logpoint:

Kontakta Logpoint

Learn more about Logpoint

Book a demo
Customer cases
Customer reviews