UA-53940618-1 NetWalker ajusta la operación de ransomware solo para empresas objetivo

NetWalker ajusta la operación de ransomware solo para empresas objetivo


El grupo de ransomware NetWalker se está alejando del phishing para la distribución de malware y ha adoptado un modelo de intrusión de red centrado solo en grandes empresas.


Al ser una operación de ransomware como servicio (RaaS), NetWalker depende de socios para diseminar el malware. Según el nuevo modelo, el grupo acepta solo un tipo específico de colaborador: intrusos de redes altamente calificados que pueden mapear el entorno y escalar su acceso.


Un nuevo modelo privado de RaaS

La distancia de los ataques de volumen masivo es una tendencia iniciada el año pasado por actores de ransomware de grandes ligas como Sodinokibi / REvil, cuyos afiliados comenzaron a comprar acceso a la red a grandes corporaciones . Otros afiliados crearon sus equipos especializados de actores para operaciones de intrusión en la red.


Es este tipo de talento lo que NetWalker ahora está buscando en sus afiliados. Y el 19 de abril anunciaron estos estrictos criterios de selección en un foro de piratería ruso.


"El colectivo elige selectivamente a los afiliados con los que colabora, creando un grupo exclusivo de intrusos de redes de primer nivel para ejecutar su nuevo modelo de negocio RaaS", escribe Yelisey Boguslavskiy, directora de investigación de seguridad en Inteligencia avanzada (AdvIntel), escribe en un informe hoy .


En marzo, el grupo aún aceptaba la distribución de malware a través del correo no deseado, pero enfatizaba que estaban interesados ​​en la calidad sobre la cantidad. Manifestaron una preferencia por socios que pudieran trabajar con grandes redes y que ya tuvieran acceso.


Las reglas cambiaron un mes después, dejando en claro que solo aceptarían especialistas en redes que tuvieran acceso a las redes objetivo.



Si la colaboración demuestra ser rentable, NetWalker abriría el acceso a su servicio y proporcionaría acceso a la red y detalles de ingresos sobre la víctima por un porcentaje de la ganancia.


Como se mencionó en la publicación anterior, el actor promete ganancias atractivas para los "jugadores principales". Si cumplen con las reglas y se pagan los rescates, los afiliados podrían obtener el 80% de los pagos, o incluso el 84% si la semana anterior las "ganancias" superaran los $ 300,000k


Por lo general, los operadores de RaaS comparten con los afiliados el 70% o incluso el 60% del dinero del rescate. En comparación, la oferta de Netwalker es bastante generosa.


Boguslavskiy le dijo a BleepingComputer que hay información de que actualmente hay entre 10 y 15 afiliados trabajando para NetWalker.


Código de conducta estricto

Hay pocas reglas que los socios deben seguir para mantener sus asientos en la mesa de NetWalker. Una de ellas es restaurar siempre los archivos de las víctimas que pagan el rescate.

Otra es evitar las empresas u objetivos rusos en el área de la Comunidad de Estados Independientes (CEI); esto también se aplica a Sodinokibi y GandCrab antes.



Los afiliados podrían recibir más de $ 1 millón de un solo pago de rescate, un representante del grupo anunciado en un foro de piratas informáticos rusos.


Respaldaron su reclamo con imágenes de rescates que Netwalker recibió de las víctimas. Estos oscilan entre $ 696,000 a $ 1.5 millones. La aplicación del porcentaje de afiliados a estas sumas muestra un pago considerable.



En cuanto al malware en sí, los autores de NetWalker afirman que funciona en todas las versiones de Windows a partir de Windows 2000 y presenta un casillero multiproceso personalizable con varias configuraciones de cifrado (total / parcial, excepciones de archivos, tareas para completar).


El investigador de seguridad Vitali Kremez descubrió el código de configuración que se puede utilizar para modificar la configuración del proceso de cifrado. También escribió una regla de YARA para detectar este ransomware.


Según una publicación el 10 de mayo, el casillero está dentro de un script de PowerShell que puede evadir la detección de antivirus y puede moverse a unidades mapeadas y recursos de red.



AdvIntel dice que NetWalker ha sido muy activo en foros web oscuros en los últimos dos meses, mostrando interés en llevar el negocio a otro nivel.


Su lista de víctimas es cada vez mayor y muestra un actor de amenaza grave. Al igual que otros operadores de ransomware, NetWalker roba datos de la red comprometida antes de encriptarlos. Esto ejerce presión sobre la víctima para que pague el rescate; de lo contrario, la información se divulga al público.


La investigación sobre la actividad reciente de NetWalker en el foro de hackers fue realizada por Yelisey Boguslavskiy y los analistas colegas de AdvIntel Bridgit Sullivan y Daniel Frey.


Fuente:https://www.bleepingcomputer.com/news/security/netwalker-adjusts-ransomware-operation-to-only-target-enterprise/

5 vistas
  • w-facebook
  • Twitter Clean
  • White Google+ Icon

© 2023 CONSULTORA DE NEGOCIOS. Hecho con  Wix.com

  • Facebook
  • Twitter
  • Icono social LinkedIn
  • YouTube