Kejahatan dunia maya telah tumbuh secara eksponensial di tahun 2020: ransomware Emotet, Trickbot, Maze, Ryuk, dan sekarang Netwalker telah menjadi masalah serius di semua industri, besar dan kecil, publik dan swasta, dan tidak ada alasan untuk percaya bahwa tren ini akan berkurang.
Pada 2019, penjahat dunia maya memeras sekitar $ 11,5 miliar dari para korbannya . Sebagai perbandingan, pada 2018 angkanya 8 miliar. Para ahli memperkirakan bahwa kerugian akibat serangan ransomware akan tumbuh hampir 100% pada tahun 2021 hingga mencapai $ 20 miliar. Sejak serangan pertamanya pada Maret 2020, Netwalker, juga dikenal sebagai Mailto, telah mengizinkan penyerang untuk menebus lebih dari $ 30 juta.
Apa itu ransomware Netwalker?
Netwalker adalah program ransomware yang berkembang pesat yang dibuat pada tahun 2019 oleh kelompok penjahat dunia maya yang dikenal sebagai Circus Spider. Circus Spider adalah salah satu anggota baru dari grup Mummy Spider yang lebih besar . Pada pandangan pertama, Netwalker bertindak seperti kebanyakan ransomware lainnya: ia menyusup ke sistem melalui email phishing, mengekstrak dan mengenkripsi data sensitif, dan kemudian menyimpannya untuk tebusan.
Sayangnya, Netwalker mampu lebih dari sekedar menyandera data yang ditangkap. Untuk menunjukkan keseriusannya, Circus Spider menerbitkan sampel data yang dicuri di Internet, yang menyatakan bahwa jika korban tidak memenuhi persyaratan mereka tepat waktu, maka sisa data akan masuk ke darknet. Circus Spider memposting data korban yang sensitif di darknet dalam folder yang dilindungi kata sandi dan menerbitkan kata sandi di Internet.
Ransomware Netwalker menggunakan model ransomware as a service (RaaS).
Pada Maret 2020, anggota Circus Spider memutuskan untuk menjadikan Netwalker sebagai nama rumah tangga. Mereka memperluas jaringan afiliasi mereka dengan cara yang mirip dengan kelompok penjahat di belakang Maze. Migrasi ransomware-as-a-service (RaaS)memungkinkan mereka untuk meningkatkan secara substansial, menargetkan lebih banyak organisasi, dan meningkatkan pembelian yang mereka terima.
Model RaaS mencakup perekrutan asisten untuk membantu pelaksanaan rencana kriminal. Seperti disebutkan di atas, Netwalker mulai mendapatkan daya tarik dan sudah mendapatkan sejumlah hasil besar. Namun, dibandingkan dengan kelompok besar ransomware lainnya, mereka tetap kecil ... sampai mereka beralih ke model RaaS .
Untuk mendapatkan "kehormatan" bergabung dengan kelompok kriminal kecil mereka, Laba-laba Sirkus memasang serangkaian kriteria khusus yang diperlukan - semacam lowongan kriminal, jika Anda mau.
Kriteria utama mereka saat memilih "asisten":
- pengalaman dengan jaringan;
- kefasihan berbahasa Rusia (mereka tidak menerima penutur bahasa Inggris);
- mereka tidak mendidik pengguna yang tidak berpengalaman;
- memiliki akses konstan ke tujuan yang bernilai bagi mereka;
- bukti pengalaman.
Untuk menarik sebanyak mungkin pendukung potensial, Circus Spider telah menerbitkan daftar peluang yang dapat diakses oleh mitra baru mereka.
Mereka termasuk:
- panel obrolan TOR otomatis sepenuhnya;
- hak pengamat;
- dukungan untuk semua perangkat Windows mulai dari Windows 2000;
- pemblokir multithread cepat;
- pengaturan pemblokir yang cepat dan fleksibel;
- akses ke proses membuka kunci;
- enkripsi jaringan yang berdekatan;
- Rakitan PowerShell yang unik untuk mempermudah bekerja dengan perangkat lunak antivirus;
- pembayaran instan.
Siapa dan apa yang menjadi target ransomware Netwalker?
Sejak hasil besar pertama pada Maret 2020, telah terjadi lonjakan serangan ransomware Netwalker. Pertama-tama, tujuannya adalah perawatan kesehatan dan institusi pendidikan. Mereka melakukan salah satu kampanye yang paling banyak dilaporkan kepada publik melawan universitas besar mengkhususkan diri dalam penelitian medis. Ransomware mencuri data rahasia universitas ini, dan untuk menunjukkan bahwa mereka serius, para penyerang membuat sampel dari data yang dicuri tersedia untuk umum. Data ini termasuk aplikasi siswa yang berisi informasi seperti nomor jaminan sosial dan data sensitif lainnya. Pelanggaran ini mengakibatkan universitas membayar uang tebusan kepada para penyerang sebesar $ 1,14 juta untuk mendekripsi data mereka.
Para penyerang di belakang Netwalker telah melakukan upaya serius untuk memanfaatkan kekacauan epidemi virus corona. Mereka mengirimkan email phishing tentang pandemi, menargetkan fasilitas kesehatan yang sudah kewalahan oleh mereka yang terkena pandemi. Situs ini adalah salah satu yang pertama Para korban layanan kesehatan diblokir oleh ransomware tepat ketika orang-orang mulai meminta nasihat mereka selama pandemi. Serangan ini memaksa mereka untuk meluncurkan situs kedua dan mengarahkan pengguna ke yang baru, menyebabkan kekhawatiran dan kebingungan di antara semua yang terlibat. Sepanjang tahun, Netwalker dan grup ransomware lainnya terus menyerang fasilitas perawatan kesehatan , memanfaatkan kurangnya fokus keamanan mereka.
Selain perawatan kesehatan dan pendidikan, Netwalker menyerang organisasi di industri lain, termasuk:
- produksi;
- manajemen bisnis;
- pengalaman pelanggan dan manajemen kualitas layanan;
- kendaraan listrik dan solusi untuk penyimpanan listrik;
- pendidikan;
- dan banyak lagi.
Bagaimana cara kerja Netwalker?
Langkah 1: phishing dan infiltrasi
Netwalker sangat bergantung pada phishing dan spear phishing sebagai metode infiltrasi . Dibandingkan dengan ransomware lain, email phishing Netwalker sering terjadi. Email ini terlihat sah dan mudah menyesatkan korban. Biasanya, Netwalker melampirkan skrip VBS bernama CORONAVIRUS_COVID-19.vbs yang meluncurkan ransomware jika penerima membuka dokumen teks terlampir dengan skrip berbahaya.
Langkah 2: Eksfiltrasi dan Enkripsi Data
Jika skrip terbuka dan berjalan di sistem Anda, maka Netwalker sudah mulai menyusup ke jaringan Anda. Mulai saat ini, hitungan mundur hingga enkripsi dimulai. Begitu masuk ke sistem, ransomware menjadi proses yang tidak terduga, biasanya dalam bentuk Microsoft yang dapat dieksekusi. Ini dilakukan dengan menghapus kode dari file yang dapat dieksekusi dan menyuntikkan kode jahatnya sendiri ke dalamnya untuk mengakses process.exe. Metode ini dikenal sebagai Proses Hollowing . Ini memberi ransomware kemampuan untuk tetap online cukup lama untuk mengekstrak dan mengenkripsi data, menghapus cadangan, dan membuat celah jika seseorang menyadari ada sesuatu yang salah.
Langkah 3: Pemerasan dan pemulihan (atau kehilangan) data
Setelah Netwalker selesai mengeksfiltrasi dan mengenkripsi data, korban menemukan bahwa data tersebut telah dicuri dan menemukan catatan tebusan. Catatan tebusan Netwalker relatif standar: ini menjelaskan apa yang terjadi dan apa yang harus dilakukan pengguna jika mereka ingin data mereka kembali dengan aman dan sehat. Circus Spider kemudian akan membutuhkan sejumlah uang untuk membayar dalam Bitcoin menggunakan portal browser TOR.
( Sumber )
Setelah korban memenuhi persyaratan, mereka mendapatkan akses ke alat dekripsi masing-masing dan dapat dengan aman mendekripsi data mereka.
Jika korban tidak memenuhi persyaratan tepat waktu, penyerang akan menambah tebusan atau mempublikasikan semua atau sebagian data yang dicuri di darknet.
Di bawah ini adalah diagram jalur serangan Netwalker tertentu.
( Sumber )
Tip untuk melindungi dari ransomware Netwalker
Netwalker menjadi lebih canggih dan lebih sulit untuk dilawan. Hal ini terutama disebabkan oleh pertumbuhan jaringan "asisten" mereka.
Kami merekomendasikan prosedur mitigasi sederhana berikut:
- Cadangkan data penting ke penyimpanan data lokal;
- Memastikan bahwa salinan data penting disimpan di cloud, di hard drive eksternal, atau perangkat penyimpanan;
- , , ;
- ;
- Wi-Fi. VPN;
- ;
- , . Netwalker, -, , , , .
Meskipun prosedur ini akan membantu mengurangi kerusakan yang diakibatkan oleh ransomware setelah menginfeksi sistem Anda, itu masih hanya mengurangi kerusakan. Melakukan prosedur ini secara proaktif akan membantu mencegah penyebaran dan mengurangi kerusakan dari ransomware setelah masuk ke sistem Anda. Memberi informasi dan melatih karyawan tentang dasar-dasar keamanan informasi akan menjadi alat yang ampuh dalam memerangi Netwalker.
Jangan tertipu dengan trik phishing
Karena Netwalker terutama menginfeksi sistem dengan mengirimkan email phishing dengan tautan berbahaya dan file yang dapat dijalankan, memberi tahu organisasi Anda tentang bahaya email phishing dan apa yang harus diwaspadai untuk menyaring email yang mencurigakan adalah suatu keharusan untuk melindungi data sensitif Anda.
Pelatihan rutin wajib dalam dasar-dasar keamanan informasi adalah alat pencegahan hebat yang dapat membantu organisasi Anda mengidentifikasi tanda-tanda email berbahaya. Inilah yang harus diperhatikan setiap kali Anda menerima email yang meminta Anda mengklik link, mendownload file, atau membagikan kredensial Anda:
- periksa dengan cermat nama dan domain dari mana email itu dikirim;
- periksa kesalahan ejaan yang jelas pada subjek dan isi pesan;
- jangan berikan kredensial Anda - pengirim yang sah tidak akan pernah memintanya;
- jangan membuka lampiran atau mengunduh tautan yang mencurigakan;
- laporkan email yang mencurigakan kepada tim keamanan informasi Anda.
Kami juga merekomendasikan untuk menjalankan serangan simulasi . Mengirim email phishing palsu kepada orang-orang di organisasi Anda adalah cara yang bagus untuk mengukur keefektifan pelatihan keamanan Anda dan menentukan siapa yang mungkin membutuhkan bantuan lebih lanjut untuk hal ini. Lacak metrik keterlibatan pengguna untuk melihat siapa yang berinteraksi dengan tautan atau lampiran apa pun, mengeluarkan kredensial mereka, atau melaporkannya ke layanan yang bertanggung jawab di organisasi Anda.
Gunakan sistem deteksi ancaman berdasarkan analisis perilaku
Melatih organisasi Anda untuk mengenali dan menanggapi serangan phishing yang terkait dengan ransomware sangat membantu dalam melindungi data sensitif Anda. Namun, deteksi ancaman dini berdasarkan analisis perilaku akan membantu membatasi kerentanan Anda terhadap efek merusak dari ransomware.
Jika akun pengguna yang disusupi mulai mendapatkan akses ke data sensitif, deteksi ancaman perilaku akan segera mengenali dan memberi tahu Anda. Misalnya, Varonis menggunakan beberapa perilaku untuk mengetahui bagaimana pengguna tertentu biasanya mengakses data. Ini memungkinkan Anda untuk menentukan kapan sifat akses pengguna ke data atau jumlah data mulai berbeda dari biasanya. Varonis membedakan antara tindakan manual dan otomatis dan menangkap jika pengguna mulai memindahkan atau mengenkripsi file dengan cara yang tidak biasa, menghentikan ransomware dari awal. Banyak pelanggan kami mengotomatiskan respons terhadap perilaku ini dengan memutuskan akun mereka dan menghentikan koneksi aktif.
Penting juga untuk terus memantau aktivitas sistem file untuk mengenali kapan ransomware menyimpan alat infiltrasi yang diketahui ke disk ( taktik umum Netwalker ), atau saat pengguna mencari file yang dibagikan untuk file dengan kata sandi atau data sensitif lainnya.
Setiap akun pengguna biasanya memiliki akses ke lebih banyak data daripada yang diperlukan, sehingga pencarian ini seringkali membuahkan hasil. Baca di bawah ini cara mengurangi risiko ini.
Pindah ke model Zero Trust
Deteksi yang benar adalah langkah penting dalam melindungi organisasi Anda dari ransomware. Namun, sama pentingnya untuk membuat kondisi seperti itu bahkan jika ransomware tidak terdeteksi untuk deteksi awal, kerusakannya akan minimal. Organisasi dapat melakukan ini dengan meminimalkan data yang mereka tunjukkan. Dengan demikian, jumlah data yang dapat dienkripsi atau dicuri akan dibatasi.
Jika Anda mencurigai bahwa Anda adalah korban ransomware Netwalker, cari semua akses file dan perubahan yang dibuat oleh pengguna mana pun selama periode waktu tertentu untuk menentukan file yang terpengaruh dan memulihkan versi yang benar. Anda juga dapat menghubungi Layanan Tanggap Insiden Varonis dan kami akan membantu Anda menyelidiki insiden tersebut secara gratis.