Специалисты компании McAfee изучили шифровальщика NetWalker, отследили биткоин-кошельки хакеров и подсчитали, сколько примерно те зарабатывают. Выяснилось, что по «прибыльности» NetWalker вполне можно сравнить с Ryuk или REvil, так как с марта 2020 года шифровальщик принес своим операторам около 25 млн долларов США.

NetWalker был обнаружен в августе 2019 года. Изначально вымогатель получил название Mailto, но потом исследователи переименовали его в NetWalker. Малварь работает по модели RaaS (ransomware-as-a-service, «вымогатель как услуга»): злоумышленники регистрируются на специальном портале и проходят проверку, после чего получают возможность создавать собственные версии шифровальщика.

Авторы NetWalker предпочитают сотрудничать с хак-группами, которые заинтересованы в таргетированных атаках на крупные компании, а не на массового пользователя. Такой подход  позволяет вымогателям запрашивать более крупные выкупы, поскольку большие компании во время вынужденного простоя теряют крупные суммы и порой им действительно выгоднее заплатить.

Эксперты McAfee пишут, что атаки NetWalker нередко происходят через уязвимости в Oracle WebLogic и Apache Tomcat, плохо защищенные эндпоинты RDP, а также при помощи фишинговых атак на сотрудников целевой компании. Также недавно специалисты ФБР предупреждали, что операторы NetWalker стали использовать для атак эксплоиты для уязвимостей в Pulse Secure VPN (CVE-201911510) и для веб-приложений, использующих Telerik UI (CVE-2019-18935).

Американские правоохранители и ИБ-эксперты McAfee отмечают, что в последние месяцы активность группировки значительно возросла. Так, в настоящее время самой  известной жертвой NetWalker является Мичиганский государственный университет, зараженный шифровальщиком в конце мая текущего года. При этом, по данным McAfee, NetWalker представляет угрозу не только для американских компаний, но и для компаний из Западной Европы.

Заражения NetWalker по данным ID-Ransomware

Успех NetWalker эксперты связывают с тем фактом, что авторы вымогателя имеют собственный сайт, где публикуют похищенные у компаний данные, если те отказываются платить. Это помогает преступникам оказывать дополнительное давление на жертв, так как многие из них опасаются, что их интеллектуальная собственность или конфиденциальные пользовательские данные окажутся в открытом доступе.

Оставить мнение