Το FBI εξέδωσε μία προειδοποίηση ασφαλείας σχετικά με τους χειριστές του Netwalker ransomware που στοχεύουν οργανισμούς των ΗΠΑ αλλά και άλλων χωρών, συμβουλεύοντας τα θύματά του ransomware να μην πληρώσουν τα λύτρα που τους ζητούνται και να αναφέρουν τα περιστατικά στο FBI. Η προειδοποίηση που εξέδωσε το FBI περιλαμβάνει επίσης κάποιες ενδείξεις που αποδεικνύουν ότι έλαβε χώρα παραβίαση που συνδέεται με το Netwalker ransomware, το οποίο είναι γνωστό και ως “Mailto”. Επιπλέον, το FBI κοινοποίησε μια λίστα με τα μέτρα που συνιστά να λάβουν οι οργανισμοί για τον μετριασμό αυτών των επιθέσεων.
Σύμφωνα με το FBI, οι χειριστές του ransomware άρχισαν να στοχεύουν οργανισμούς των ΗΠΑ και άλλων χωρών από τον Ιούνιο του 2020, αφού κρυπτογράφησαν επιτυχώς συστήματα στο δίκτυο της Ιατρικής Σχολής του UCSF και της αυστραλιανής εταιρείας μεταφορών και logistics “Toll Group”. Η Toll Group “χτυπήθηκε” ξανά από το Nefilim ransomware, όπως και η Lorien Health Services, νωρίτερα αυτό το μήνα.
Επιπλέον, το FBI επισημαίνει ότι οι χειριστές του Netwalker ransomware έχουν επωφεληθεί από την πανδημία του COVID-19 στις επιθέσεις τους, καταφέρνοντας να θέσουν σε κίνδυνο έναν μεγάλο αριθμό ανυποψίαστων θυμάτων τον Μάρτιο, μέσω phishing email που μεταφέρουν ένα Visual Basic Scripting (VBS) loader.
Ξεκινώντας από τον Απρίλιο του 2020, το Netwalker ransomware άρχισε να εκμεταλλεύεται ευάλωτες VPN συσκευές, user interface components σε web applications ή αδύναμους κωδικούς πρόσβασης συνδέσεων RDP, για να αποκτήσουν πρόσβαση στα δίκτυα των στόχων τους. Δύο από τις πιο κοινές ευπάθειες που εκμεταλλεύονται οι χειριστές του Netwalker αφορούν το Pulse Secure VPN (CVE-2019-11510) και το Telerik UI (CVE-2019-18935).
Επίσης, η ομάδα του Netwalker ransomware κυκλοφόρησε πρόσφατα μία διαφήμιση, στην οποία ανέφερε ότι αναζητούσε νέους συνεργάτες που να μπορούν να της προσφέρουν πρόσβαση σε δίκτυα μεγάλων εταιρειών.
Ποια μέτρα μετριασμού προτείνει το FBI;
- Οι οργανισμοί μπορούν να μειώσουν σε σημαντικό βαθμό τις πιθανότητες να πέσουν θύματα του Netwalker ransomware, χρησιμοποιώντας έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) με ισχυρούς κωδικούς πρόσβασης και διατηρώντας ενημερωμένες όλες τις συσκευές και το software στα δίκτυά τους.
- Το FBI συνιστά επίσης τη χρήση anti-virus ή anti-malware σε όλους τους υπολογιστές δικτύου, ενώ οι οργανισμοί θα πρέπει να χρησιμοποιούν μόνο ασφαλή δίκτυα και να αποφεύγουν τη χρήση δημοσίων δικτύων Wi-Fi. Επιπλέον, θα πρέπει να εξετάσουν το ενδεχόμενο να εγκαταστήσουν και να χρησιμοποιήσουν ένα VPN.
- Ένα πολύ σημαντικό μέτρο που προτείνει το FBI είναι τα αντίγραφα ασφαλείας που να είναι αποθηκευμένα είτε σε εξωτερικές συσκευές αποθήκευσης είτε στο cloud, ώστε να είναι πιο δύσκολο ή και αδύνατο για επίδοξους εισβολείς να αποκτήσουν πρόσβαση σε αυτά και να τα κρυπτογραφήσουν.
Μόλις οι διαχειριστές του Netwalker ransomware διεισδύσουν με επιτυχία στο δίκτυο ενός παραβιασμένου στόχου, θα χρησιμοποιήσουν διάφορα κακόβουλα εργαλεία για τη συλλογή admin credentials, για να κλέψουν ευαίσθητες πληροφορίες, τις οποίες αργότερα μπορεί να χρησιμοποιήσουν για να πείσουν τον στόχο να πληρώσει τα λύτρα και να κρυπτογραφήσουν τα δεδομένα σε όλες τις Windows συσκευές στο δίκτυο.
Η ομάδα του Netwalker ransomware έχει ανεβάσει κλεμμένα δεδομένα στην υπηρεσία αποθήκευσης cloud και κοινής χρήσης αρχείων, MEGA.NZ (MEGA), κοινοποιώντας τα δεδομένα μέσω του MEGA website ή εγκαθιστώντας το MEGA client application απευθείας στον υπολογιστή του θύματος. Επιπλέον, τον Ιούνιο, η ομάδα μετέβη από τη μεταφόρτωση και την απελευθέρωση κλεμμένων δεδομένων στο MEGA σε μεταφόρτωση των κλεμμένων δεδομένων σε άλλη υπηρεσία κοινής χρήσης αρχείων: website.dropmefiles.com.
Το FBI συμβουλεύει τα θύματα να μην πληρώσουν λύτρα μετά από τέτοιες επιθέσεις, καθώς αυτό δεν εγγυάται την επιτυχή αποκατάσταση των κρυπτογραφημένων συσκευών. Ωστόσο, το FBI κατανοεί ότι όταν οι οργανισμοί αντιμετωπίζουν αδυναμία στη λειτουργία τους, τα στελέχη θα αξιολογήσουν όλες τις επιλογές για την προστασία των υπαλλήλων και των πελατών τους.
Πηγή: secnews.gr