Il mondo digitale è un luogo in continua evoluzione, con nuove minacce che emergono costantemente.

Tra le più pericolose c’è il ransomware, un tipo di malware che prende in ostaggio i dati delle vittime e richiede un riscatto per il loro rilascio.

Nel panorama dei ransomware, Netwalker si è fatto notare come una delle varianti più pericolose e sofisticate: in questo articolo, esamineremo in dettaglio Netwalker, analizzando le sue caratteristiche, il suo funzionamento e le misure che è possibile adottare per proteggersi.

netwalker ransomware
  1. Cos’è Netwalker ransomware
  2. Come funziona un attacco di Netwalker ransomware
  3. Modello RaaS (Ransomware-as-a-Service) di NetWalker
  4. Attacchi noti di NetWalker ransomware
  5. Tecnologie di evasione di Netwalker
  6. Come proteggersi da Netwalker ransomware

Cos’è Netwalker ransomware

Netwalker è un ransomware che è emerso nel panorama delle minacce informatiche all’inizio del 2020.
Il ransomware ha colpito diverse organizzazioni in tutto il mondo, tra cui aziende, ospedali e istituzioni governative. Il ransomware ha guadagnato notorietà sfruttando la pandemia di COVID-19 per diffondersi tramite campagne di phishing. È noto per aver preso di mira grandi organizzazioni, inclusi enti governativi, aziende private, e istituzioni sanitarie. Questo ransomware ha generato oltre 25 milioni di dollari in pagamenti di riscatto in soli cinque mesi a partire da marzo 2020.

Una delle caratteristiche più preoccupanti di Netwalker è la sua evoluzione costante.
Gli autori di questo ransomware sono noti per apportare regolarmente miglioramenti alla loro minaccia, rendendola sempre più difficile da sconfiggere.
Questo include l’aggiunta di nuove tecniche di evasione delle difese informatiche e il perfezionamento delle loro capacità di distribuzione.

Come funziona un attacco di Netwalker ransomware

Modalità di Diffusione

NetWalker si diffonde principalmente attraverso due modalità:

Email di phishing 
Utilizza script VBS allegati a email tematiche sul COVID-19 che, una volta cliccati, eseguono il payload del ransomware.

Esecuzione di file malevoli
Un file eseguibile che si diffonde sulla rete e una volta eseguito da un utente, compromette tutti i dispositivi Windows collegati.

Tecniche di attacco

  1. Process Hollowing: il ransomware inietta il payload malevolo nel processo legittimo explorer.exe per evitare rilevamenti.
  2. Persistenza: sposta l’eseguibile maligno nella cartella AppData\Roaming e crea una chiave di registro per garantire la persistenza.
  3. Crittografia dei file: cifra i file sul dispositivo della vittima e cambia le loro estensioni, lasciando note di riscatto in ogni cartella contenente file cifrati.
  4. Eliminazione delle copie di backup: utilizza vssadmin.exe per eliminare le copie shadow del volume, impedendo il recupero dei file da backup.

Modello RaaS (Ransomware-as-a-Service) di NetWalker

NetWalker opera come un servizio di ransomware, reclutando affiliati su forum del dark web.
Gli affiliati ricevono una percentuale del riscatto (60-70%) per distribuire il ransomware e infettare le vittime. Questo modello ha permesso a NetWalker di ampliare rapidamente la sua base operativa e aumentare il numero di attacchi.

Attacchi noti di NetWalker ransomware

Alcuni degli attacchi più noti di NetWalker includono:

  1. Toll Group: Un’importante azienda di trasporti australiana colpita nel febbraio 2020.
  2. University of California San Francisco (UCSF): Pagò un riscatto di 1,14 milioni di dollari nel giugno 2020.
  3. Champaign-Urbana Public Health District: Attaccata nel marzo 2020, impedendo temporaneamente l’accesso a file critici.
  4. K-Electric: La più grande compagnia elettrica privata del Pakistan, colpita nel settembre 2020.

Nel gennaio 2021, le autorità statunitensi e bulgare hanno sequestrato i siti dark web utilizzati da NetWalker per negoziare pagamenti e pubblicare dati rubati. Inoltre, un affiliato di NetWalker, Sebastien Vachon-Desjardins, è stato arrestato e successivamente condannato a 20 anni di carcere per il suo ruolo negli attacchi.

Netwalker utilizza algoritmi di crittografia robusti per cifrare i file sul sistema bersaglio. Tipicamente, utilizza quelli a chiave simmetrica per cifrare i dati e poi crittografa la chiave di crittografia stessa con una chiave pubblica asimmetrica. Questo permette agli attaccanti di conservare la chiave privata necessaria per la decrittazione, mentre la vittima riceve solo la chiave crittografata.

Tra gli algoritmi di crittografia utilizzati da Netwalker ci possono essere AES (Advanced Encryption Standard) per la crittografia dei dati e RSA (Rivest-Shamir-Adleman) per la crittografia delle chiavi.

Vulnerabilità

Netwalker sfrutta spesso vulnerabilità note nei sistemi operativi o nelle applicazioni per ottenere l’accesso ai sistemi bersaglio.
Queste vulnerabilità possono includere:

  • falle di sicurezza non patchate
  • errori di configurazione
  • mancanze di patch sui sistemi bersaglio

Ad esempio, Netwalker può sfruttare vulnerabilità Remote Desktop Protocol (RDP) non corrette per ottenere accesso remoto ai sistemi.

Tecnologie di evasione di Netwalker

Per evitare la rilevazione da parte degli strumenti di sicurezza e degli antivirus, Netwalker può utilizzare varie tecniche di evasione.
Queste tecniche includono:

  • polimorfismo: modifica costantemente la sua firma o il suo aspetto per sfuggire alla rilevazione basata su firme.
  • falsificazione di firma digitale: può impersonare applicazioni legittime firmandosi digitalmente in modo fraudolento per sembrare affidabile
  • code Injection in processi legittimi: può iniettare il suo codice in processi legittimi già in esecuzione per nascondersi dalla rilevazione.
  • utilizzo di server proxy: utilizza server proxy per nascondere la comunicazione con il server di comando e controllo.

Come proteggersi da Netwalker ransomware

Per proteggersi efficacemente da NetWalker ransomware, è fondamentale adottare un approccio multi-livello che combina misure tecniche e comportamentali. La formazione dei dipendenti è cruciale: devono essere informati sui pericoli delle email di phishing e su come riconoscerle. Le campagne di sensibilizzazione dovrebbero includere simulazioni di phishing per testare la prontezza dei dipendenti.

L’implementazione di un sistema di autenticazione a più fattori (MFA) può aggiungere un ulteriore strato di sicurezza, rendendo più difficile per gli attaccanti accedere alle reti aziendali anche se riescono a ottenere le credenziali di accesso. È anche essenziale mantenere aggiornati tutti i software e i sistemi operativi con le ultime patch di sicurezza per ridurre le vulnerabilità che i ransomware possono sfruttare.

Le soluzioni di sicurezza avanzate, come antivirus e anti-malware, devono essere installate e mantenute aggiornate. Questi strumenti possono aiutare a rilevare e bloccare le minacce prima che possano causare danni significativi. Le scansioni di sicurezza regolari e le valutazioni delle vulnerabilità possono identificare e mitigare i punti deboli nelle difese aziendali.

Infine, la segmentazione della rete può limitare la diffusione del ransomware una volta che un dispositivo è stato compromesso. Isolando i vari segmenti della rete, è possibile contenere l’infezione e prevenire che si propaghi ad altri sistemi e dati critici.

Adottando queste misure preventive e mantenendo un approccio proattivo alla sicurezza informatica, le organizzazioni possono ridurre significativamente il rischio di essere vittime di attacchi ransomware come NetWalker.