Les cyberattaques impliquant le ransomware Netwalker sont devenues beaucoup plus courantes, au point qu’il est désormais considéré comme l’une des plus grandes menaces de ransomware de 2020.
Netwalker : un ransomware très dangereux
Netwalker est une variante d’un ransomware qui était auparavant connu sous le nom de Mailto. Elle a été détectée pour la première fois il y a un an, plus précisément en août 2019.
Fin 2019, le groupe de pirates qui l’ont conçue l’a rebaptisée Netwalker.
En 2020, ils ont commencé à faire de la publicité pour que leurs affiliés partagent le logiciel en question dans le cadre du modèle de ransomware-as-a-service.
Contrairement à de nombreuses offres RaaS, le groupe de pirates est particulièrement méticuleux lorsqu’il identifie les personnes pour distribuer le ransomware. Il essaie de constituer un groupe restreint d’affiliés capables de mener des attaques de réseau sur des entreprises ayant les moyens de payer des rançons importantes et les données qui justifient de tels paiements lorsqu’elles sont chiffrées.
Le ransomware Netwalker a été mis en œuvre lors d’une attaque en février contre Toll Group, une entreprise australienne de logistique et de transport.
Cela a provoqué de nombreuses perturbations bien que l’entreprise affirme ne pas avoir payé la rançon.
Comme beaucoup d’autres gangs utilisant le ransomware, le groupe de pirates de Netwalker a profité de la pandémie COVID-19 et a utilisé des leurres liés à ce thème dans des e-mails de phishing pour partager la charge utile via une pièce jointe malveillante, en optant pour un chargeur de pièces jointes en Visual Basic Scripting (.vbs).
Ensuite, des attaques ont été lancées contre l’université d’État du Michigan et le Columbia College de Chicago.
La fréquence des attaques a augmenté en juin.
L’Université de Californie à San Francisco qui menait des recherches sur le COVID-19 a été attaquée. L’université n’a eu d’autres choix que de payer la rançon d’environ 977000 euros que les pirates ont demandée pour pouvoir accéder à nouveau à des données de recherche cruciales qui avaient été chiffrées lors de l’attaque.
Les pirates derrière Netwalker ont également pu chiffrer des fichiers du Lorien Health Services, un opérateur du Maryland qui gère des centres de vie assistée.
Suite aux réussites des récentes attaques et étant donné que la campagne de recrutement a été efficace, les cybercriminels ont adopté diverses nouvelles techniques, notamment les attaques par la force brute sur des serveurs RDP et l’exploitation de failles dans des systèmes VPN non patchés comme le VPN Pulse Secure qui n’avait pas été patché pour corriger la vulnérabilité CVE-2019-11510.
D’autres campagnes malveillantes ont été menées, exploitant les vulnérabilités des composants de l’interface utilisateur des applications web, comme la vulnérabilité CVE-2019-18935 de l’interface utilisateur de Telerik, outre les vulnérabilités des serveurs Oracle WebLogic et Apache Tomcat.
Avec les rançons payées jusqu’à ce jour, le groupe de pirates est désormais bien financé et semble avoir des affiliés talentueux qui travaillent pour la distribution du ransomware.
Netwalker est ainsi devenu l’une des plus grandes menaces de ransomware et a rejoint les rangs de Ryuk et Sodinokibi. Tout comme pour ces autres menaces, les données ont été volées avant leur chiffrement et les pirates ont émis des menaces de les publier ou de les vendre si la rançon n’est pas payée.
L’augmentation de l’activité et de la compétence du groupe de pirates pour accéder aux réseaux d’entreprises a incité le FBI à publier une alerte flash sur les attaques du ransomware en fin juillet.
Le groupe de pirates semble actuellement se concentrer sur les organisations gouvernementales, les établissements d’enseignement, les prestataires de soins de santé et les entités impliquées dans la recherche sur le COVID-19. De plus, les attaques ne montrent aucun signe de ralentissement. Au contraire, elles sont plus susceptibles d’augmenter.
Adoptez des solutions pour vous protéger du ransomware Netwalker
Pour se protéger des attaques de ransomware, il faut adopter une approche de défense en profondeur et une bonne cyberhygiène.
Une solution avancée de filtrage des spams devrait être utilisée pour bloquer les attaques lancées via la messagerie électronique. Les utilisateurs finaux devraient apprendre à reconnaître les e-mails dangereux et savoir ce qu’il faut faire s’ils reçoivent un message suspect.
Comme les vulnérabilités des logiciels peuvent être exploitées par des cybercriminels, il est donc vital de les corriger rapidement. Tous les appareils doivent aussi fonctionner avec les dernières versions de logiciels.
Des logiciels antivirus et antimalware devraient être installés sur tous les appareils et tenus à jour.
Des politiques exigeant la création de mots de passe forts devraient être appliquées pour empêcher les attaques par la force brute de réussir. Des VPN corrigés devraient être mis en place pour l’accès à distance.
Une authentification à deux facteurs devrait être mise en œuvre et des filtres web devraient être utilisés pour la navigation sécurisée sur Internet.
Des sauvegardes devraient être effectuées dès qu’elles sont disponibles. Les sauvegardes doivent être stockées sur un dispositif non connecté au réseau de l’entreprise, lequel ne doit pas être accessible via Internet afin de s’assurer que les données ne seront pas chiffrées lors d’une attaque.