信息來(lái)源:Cnbeta
安全公司McAfee今天表示,NetWalker勒索軟件的運(yùn)營(yíng)者據(jù)信自今年3月以來(lái)已經(jīng)從勒索金支付中賺取了超過(guò)2500萬(wàn)美元。雖然沒(méi)有精確的最新統(tǒng)計(jì)數(shù)據(jù),但2500萬(wàn)美元的數(shù)字使NetWalker在目前已知最成功的勒索軟件團(tuán)伙中排名靠前,其他已知的名字包括Ryuk、Dharma和REvil(Sodinokibi)。
McAfee最近發(fā)布了一份關(guān)于NetWalker行動(dòng)的綜合報(bào)告,它能夠追蹤受害者向該勒索軟件團(tuán)伙比特幣地址支付的款項(xiàng)。然而,安全專(zhuān)家認(rèn)為,由于他們的觀點(diǎn)并不完整,該團(tuán)伙可能從他們的非法行動(dòng)中獲得更多的利益。NetWalker作為一個(gè)勒索軟件,最早出現(xiàn)在2019年8月。在最初的版本中,該勒索軟件的名稱為Mailto,但在2019年年底重新命名為NetWalker。
該勒索軟件以封閉訪問(wèn)的RaaS--勒索軟件即服務(wù)門(mén)戶的形式運(yùn)行。其他黑客團(tuán)伙注冊(cè)并通過(guò)審查,之后他們被授予訪問(wèn)一個(gè)門(mén)戶網(wǎng)站的權(quán)限,在那里他們可以構(gòu)建定制版本的勒索軟件。分發(fā)工作由這些二線幫派(即所謂的附屬機(jī)構(gòu))負(fù)責(zé),每個(gè)幫派都會(huì)根據(jù)自己的情況進(jìn)行部署。通過(guò)這一審查過(guò)程,NetWalker最近開(kāi)始選擇專(zhuān)門(mén)針對(duì)高價(jià)值實(shí)體網(wǎng)絡(luò)進(jìn)行定向攻擊的關(guān)聯(lián)公司,而不是那些專(zhuān)門(mén)采用大規(guī)模傳播方法的關(guān)聯(lián)公司,如利用工具包或電子郵件垃圾郵件。原因是,以大公司為目標(biāo)進(jìn)行精準(zhǔn)和外科手術(shù)式的入侵,可以讓該團(tuán)伙提出更大的贖金要求,因?yàn)榕c小公司相比,大公司在倒閉時(shí)損失的利潤(rùn)更多。
NetWalker的作者似乎更青睞于能夠通過(guò)網(wǎng)絡(luò)攻擊,對(duì)RDP服務(wù)器、網(wǎng)絡(luò)設(shè)備、VPN服務(wù)器、防火墻等執(zhí)行入侵的關(guān)聯(lián)公司。值得注意的是,NetWalker的作者化名為Bugatti,只對(duì)雇傭說(shuō)俄語(yǔ)的二級(jí)幫派感興趣。McAfee專(zhuān)家表示,從歷史上看,NetWalker通過(guò)利用Oracle WebLogic和Apache Tomcat服務(wù)器中的漏洞,通過(guò)RDP端點(diǎn)以薄弱的憑證進(jìn)入網(wǎng)絡(luò),或者通過(guò)對(duì)重要公司的工作人員進(jìn)行魚(yú)叉式釣魚(yú)來(lái)進(jìn)行入侵。
但根據(jù)FBI上周發(fā)布的警報(bào),最近,該團(tuán)伙還加入了針對(duì)Pulse Secure VPN服務(wù)器的漏洞(CVE-201911510)和針對(duì)使用Telerik UI組件網(wǎng)絡(luò)應(yīng)用的漏洞(CVE-2019-18935),使他們的武器庫(kù)多樣化。同一警報(bào)還警告美國(guó)公司和政府組織一定要更新系統(tǒng),因?yàn)樵摼挚吹絅etWalker團(tuán)伙的活動(dòng)有所增加,甚至沖擊了一些政府網(wǎng)絡(luò)。
而該團(tuán)伙如此受歡迎的原因之一,也是因?yàn)樗?"泄密門(mén)戶",該團(tuán)伙在網(wǎng)站上公布拒絕支付其贖金要求的受害者的姓名,并且發(fā)布數(shù)據(jù)。一旦NetWalker聯(lián)盟入侵網(wǎng)絡(luò),他們首先會(huì)竊取公司的敏感數(shù)據(jù),然后對(duì)文件進(jìn)行加密。如果受害者在最初的談判中拒絕支付解密文件的費(fèi)用,勒索軟件團(tuán)伙就會(huì)在他們的泄密網(wǎng)站上創(chuàng)建一個(gè)條目。該條目有一個(gè)計(jì)時(shí)器,如果受害者仍然拒絕支付,該團(tuán)伙就會(huì)泄公布他們從受害者網(wǎng)絡(luò)中竊取的文件。