信息來(lái)源：Cnbeta

安全公司McAfee今天表示，NetWalker勒索軟件的運(yùn)營(yíng)者據(jù)信自今年3月以來(lái)已經(jīng)從勒索金支付中賺取了超過(guò)2500萬(wàn)美元。雖然沒(méi)有精確的最新統(tǒng)計(jì)數(shù)據(jù)，但2500萬(wàn)美元的數(shù)字使NetWalker在目前已知最成功的勒索軟件團(tuán)伙中排名靠前，其他已知的名字包括Ryuk、Dharma和REvil（Sodinokibi）。

McAfee最近發(fā)布了一份關(guān)于NetWalker行動(dòng)的綜合報(bào)告，它能夠追蹤受害者向該勒索軟件團(tuán)伙比特幣地址支付的款項(xiàng)。然而，安全專家認(rèn)為，由于他們的觀點(diǎn)并不完整，該團(tuán)伙可能從他們的非法行動(dòng)中獲得更多的利益。NetWalker作為一個(gè)勒索軟件，最早出現(xiàn)在2019年8月。在最初的版本中，該勒索軟件的名稱為Mailto，但在2019年年底重新命名為NetWalker。

該勒索軟件以封閉訪問(wèn)的RaaS--勒索軟件即服務(wù)門(mén)戶的形式運(yùn)行。其他黑客團(tuán)伙注冊(cè)并通過(guò)審查，之后他們被授予訪問(wèn)一個(gè)門(mén)戶網(wǎng)站的權(quán)限，在那里他們可以構(gòu)建定制版本的勒索軟件。分發(fā)工作由這些二線幫派（即所謂的附屬機(jī)構(gòu)）負(fù)責(zé)，每個(gè)幫派都會(huì)根據(jù)自己的情況進(jìn)行部署。通過(guò)這一審查過(guò)程，NetWalker最近開(kāi)始選擇專門(mén)針對(duì)高價(jià)值實(shí)體網(wǎng)絡(luò)進(jìn)行定向攻擊的關(guān)聯(lián)公司，而不是那些專門(mén)采用大規(guī)模傳播方法的關(guān)聯(lián)公司，如利用工具包或電子郵件垃圾郵件。原因是，以大公司為目標(biāo)進(jìn)行精準(zhǔn)和外科手術(shù)式的入侵，可以讓該團(tuán)伙提出更大的贖金要求，因?yàn)榕c小公司相比，大公司在倒閉時(shí)損失的利潤(rùn)更多。

NetWalker的作者似乎更青睞于能夠通過(guò)網(wǎng)絡(luò)攻擊，對(duì)RDP服務(wù)器、網(wǎng)絡(luò)設(shè)備、VPN服務(wù)器、防火墻等執(zhí)行入侵的關(guān)聯(lián)公司。值得注意的是，NetWalker的作者化名為Bugatti，只對(duì)雇傭說(shuō)俄語(yǔ)的二級(jí)幫派感興趣。McAfee專家表示，從歷史上看，NetWalker通過(guò)利用Oracle WebLogic和Apache Tomcat服務(wù)器中的漏洞，通過(guò)RDP端點(diǎn)以薄弱的憑證進(jìn)入網(wǎng)絡(luò)，或者通過(guò)對(duì)重要公司的工作人員進(jìn)行魚(yú)叉式釣魚(yú)來(lái)進(jìn)行入侵。

但根據(jù)FBI上周發(fā)布的警報(bào)，最近，該團(tuán)伙還加入了針對(duì)Pulse Secure VPN服務(wù)器的漏洞(CVE-201911510)和針對(duì)使用Telerik UI組件網(wǎng)絡(luò)應(yīng)用的漏洞(CVE-2019-18935)，使他們的武器庫(kù)多樣化。同一警報(bào)還警告美國(guó)公司和政府組織一定要更新系統(tǒng)，因?yàn)樵摼挚吹絅etWalker團(tuán)伙的活動(dòng)有所增加，甚至沖擊了一些政府網(wǎng)絡(luò)。

而該團(tuán)伙如此受歡迎的原因之一，也是因?yàn)樗?"泄密門(mén)戶"，該團(tuán)伙在網(wǎng)站上公布拒絕支付其贖金要求的受害者的姓名，并且發(fā)布數(shù)據(jù)。一旦NetWalker聯(lián)盟入侵網(wǎng)絡(luò)，他們首先會(huì)竊取公司的敏感數(shù)據(jù)，然后對(duì)文件進(jìn)行加密。如果受害者在最初的談判中拒絕支付解密文件的費(fèi)用，勒索軟件團(tuán)伙就會(huì)在他們的泄密網(wǎng)站上創(chuàng)建一個(gè)條目。該條目有一個(gè)計(jì)時(shí)器，如果受害者仍然拒絕支付，該團(tuán)伙就會(huì)泄公布他們從受害者網(wǎng)絡(luò)中竊取的文件。