NetWalker勒索软件运营商半年已获利2500万美元

迈克菲称，NetWalker勒索软件运营商仍然非常活跃，自2020年3月以来，该网络犯罪团伙的收入已超过2500万美元。

至少自2019年8月以来，该恶意软件一直处于活动状态，在过去的几个月中，NetWalker勒索软件通过吸引犯罪附属机构的服务即勒索软件（RaaS）模式提供。

迈克菲（McAfee）发布了有关NetWalker运营的  报告，研究人员能够跟踪支付监控交易到与勒索软件运营商相关联的已知比特币地址池中。

“自2019年以来，NetWalker勒索软件已经达到了许多不同的目标，主要位于西欧国家和美国。自2019年底以来，NetWalker帮派表示更倾向于大型组织，而不是个人。” 阅读报告。“在COVID-19大流行期间，NetWalker背后的对手清楚地指出  ，医院不会成为攻击  目标；他们是否信守承诺，还有待观察。”

NetWalker勒索软件运营商最近开始选择专门针对高价值实体进行有针对性的攻击的分支机构，以尽最大努力进行外科手术。

与小公司相比，高价值企业将支付更大的赎金要求。

分支机构过去常常通过对RDP服务器的暴力攻击或利用VPN服务器和防火墙中的已知漏洞来传递威胁。

NetWalker的作者与绰号“ Bugatti”一起上网，仅对与讲俄语的客户开展业务感兴趣。

传播NetWalker勒索软件的威胁行为者进行了网络攻击，这些攻击利用了Oracle WebLogic和Apache Tomcat服务器中的漏洞，强行使用的RDP端点以及对大型公司员工的鱼叉式网络钓鱼攻击。

上周，联邦调查局发布了一个新的安全闪存警报，警告 针对美国和外国政府组织的  Netwalker勒索软件攻击。联邦政府建议受害者不要支付赎金，并向当地的联邦调查局外地办事处报告事件。

该闪动警报还包括针对Netwalker勒索软件的破坏迹象以及缓解措施。

FBI警告称，Netwalker勒索软件攻击浪潮始于6月份，受害者名单包括  加州大学旧金山分校医学院  和澳大利亚物流巨头  Toll Group。

“截至2020年6月，FBI已收到有关Netwalker勒索软件攻击的通知，这些勒索软件攻击了身份不明的网络参与者，袭击了美国和外国政府组织，教育实体，私营公司和卫生机构。” 读取警报。“在入侵澳大利亚运输和物流公司以及美国公共卫生组织之后，Netwalker在2020年3月获得了广泛认可。从那以后，使用Netwalker的网络参与者就利用了COVID-19大流行的优势，以折衷越来越多的毫无戒心的受害者。”

自3月以来，Netwalker勒索软件运营商一直非常活跃，并且还  利用了  针对目标组织的持续COVID-19爆发。

威胁参与者最初利用网络钓鱼电子邮件传递Visual Basic脚本（VBS）加载程序，但自2020年4月起，Netwalker勒索软件运营商开始利用易受攻击的虚拟专用网络（VPN）设备，Web应用程序中的用户界面组件或远程桌面协议的弱密码连接以访问受害者的网络。

最近，Netwalker勒索软件运营商正在寻找新的协作者，以使他们能够访问大型企业网络。 

“参与者使用Netwalker利用的最常见的两个漏洞是  Pulse Secure VPN（CVE-2019-11510）  和  Telerik UI（CVE-2019-18935）。” 继续警报。“一旦演员通过Netwalker渗透到网络中，就会执行一系列恶意程序来收集管理员凭据，窃取有价值的数据并加密用户文件。为了对受害网络上的用户文件进行加密，参与者通常会启动一个嵌入了Netwalker勒索软件可执行文件的恶意PowerShell脚本。”

通过分析与Netwalker勒索软件操作有关的与交易相关的比特币地址，迈克菲观察到2020年3月1日至2020年7月27日之间，在该团伙运营的钱包之间转移了2,795个比特币。

“在2020年3月1日至2020年7月27日期间，通过追踪交易至这些与NetWalker相关的地址发现的勒索比特币总量为2795 BTC。通过使用历史性比特币兑美元汇率，我们估计总共勒索了2500万美元与这些与NetWalker相关的交易”，McAfee报告继续。

“即使在NetWalker开始推广之前，我们对BTC流程没有完全的了解，但可以肯定的是，仅在本季度，它在勒索组织中获取大量资金方面就非常成功。”

为了强迫受害者支付赎金，该团伙建立了一个泄漏站点，在该站点上发布拒绝付款的受害者的数据。这种策略在网络犯罪生态系统中变得越来越普遍，许多公司决定付款，以避免其名字出现在网站上以及其数据在线泄漏。