Netwalkerランサムウェアについて知っておくべきことすべて

サイバー犯罪は2020年に指数関数的に成長しました。ランサムウェアのEmotet、Trickbot、Maze、Ryuk、そして今やNetwalkerは、大小、公的および私的を問わず、すべての業界で深刻な問題になっています。この傾向が衰えると信じる理由はありません。



2019年、サイバー犯罪者は被害者から約115億ドルを恐喝しました 。比較のために、2018年のこの数字は80億でした。専門家は、ランサムウェア攻撃による損失は2021年までにほぼ100％増加し、200億ドルに達すると予測しています。 2020年3月の最初の攻撃以来、Mailtoとしても知られるNetwalkerは、攻撃者に3,000万ドル以上の身代金を要求してきました。

Netwalkerランサムウェアとは何ですか？

Netwalkerは、CircusSpiderとして知られるサイバー犯罪グループによって2019年に作成された急速に成長しているランサムウェアプログラムです。Circus Spiderは、より大きなMummySpiderグループの新しいメンバーの1つです 。一見したところ、Netwalkerは他のほとんどのランサムウェアフレーバーと同じように機能します。フィッシングメールを介してシステムに侵入し、機密データを抽出して暗号化し、身代金のために保持します。



残念ながら、Netwalkerは、キャプチャされたデータを人質にとどめるだけではありません。その深刻さを示すために、Circus Spiderは盗まれたデータのサンプルをインターネット上に公開し、被害者が時間内に要件を満たさない場合、残りのデータはダークネットに送られると述べています。 Circus Spiderは、被害者の機密データをパスワードで保護されたフォルダ内のダークネットに投稿し、インターネット上に公開します。



Netwalkerランサムウェアは、サービスとしてのランサムウェア（RaaS）モデルを使用します。

2020年3月、Circus Spiderのメンバーは、Netwalkerを一般的な名前にすることを決定しました。彼らは、迷路の背後にいる犯罪者のグループと同様の方法でアフィリエイトネットワークを拡大しました。 Ransomware-as-a-Service（RaaS）の移行大幅にスケールアップし、より多くの組織をターゲットにし、受け取ったバイアウトを増やすことができました。



RaaSモデルには、犯罪計画の実行を支援するアシスタントの採用が含まれています。上記のように、Netwalkerは勢いを増し始めており、すでに多くの大きな成果を上げています。ただし、ランサムウェアの他の大規模なグループと比較すると、RaaSモデルに切り替えるまでは小さいままでした 。



彼らの小さな犯罪グループに加わることの「名誉」を獲得するために、サーカススパイダーは必要な特定の基準のセットを投稿しました-あなたがそうするなら、一種の犯罪的欠員。



「アシスタント」を選択する際の主な基準：

• ネットワーキングの経験;
• ロシア語に堪能（英語を話す人は受け入れません）。
• 経験の浅いユーザーを教育することはありません。
• 彼らにとって価値のある目標に常にアクセスできること。
• 経験の証拠。

できるだけ多くの潜在的なサポーターを引き付けるために、CircusSpiderは新しいパートナーがアクセスできる機会のリストを公開 しました。



それらが含まれます：

• 全自動TORチャットパネル。
• オブザーバーの権利;
• Windows2000以降のすべてのWindowsデバイスのサポート。
• 高速マルチスレッドブロッカー。
• 高速で柔軟なブロッカー設定。
• ロック解除プロセスへのアクセス。
• 隣接するネットワークの暗号化。
• ウイルス対策ソフトウェアの操作を容易にする独自のPowerShellアセンブリ。
• 即時支払い。

Netwalkerランサムウェアは誰と何を標的にしていますか？

2020年3月の最初の主要な結果以来、Netwalkerランサムウェア攻撃が急増しています。まず第一に、その目標は医療機関と教育機関でした。彼らは主要な大学に対して最も公に報告されたキャンペーンの1つを実施しました 医学研究を専門としています。ランサムウェアはこの大学の機密データを盗み、それらが深刻であることを示すために、攻撃者は盗んだデータのサンプルを公開しました。このデータには、社会保障番号やその他の機密データなどの情報を含む学生向けアプリが含まれていました。この違反により、大学は攻撃者にデータを復号化するために114万ドルの身代金を支払いました。



Netwalkerの背後にいる攻撃者は、コロナウイルスの流行の混乱を利用しようと真剣に試みました。彼らは、パンデミックの影響を受けた人々にすでに圧倒されている医療施設を対象に、パンデミックに関するフィッシングメールを送信しました。このサイトは最初のサイトの1つです 医療被害者は、パンデミックの最中に人々がアドバイスを求め始めたのと同じように、ランサムウェアによってブロックされました。この攻撃により、2つ目のサイトを立ち上げ、ユーザーを新しいサイトに誘導することを余儀なくされ、関係者全員に懸念と混乱が生じました。Netwalkerやその他のランサムウェアグループは、セキュリティに重点を置いていないことを利用して、年間を通じて 医療施設を攻撃し続けました。



Netwalkerは、医療と教育に加えて、次のような他の業界の組織を攻撃します。

• 製造;
• ビジネス管理;
• カスタマーエクスペリエンスとサービス品質管理。
• 電気自動車および電力貯蔵用ソリューション。
• 教育;
• と他の多く。

Netwalkerはどのように機能しますか？

ステップ1：フィッシングと侵入

Netwalkerは、侵入方法としてフィッシングとスピアフィッシングに大きく依存 しています。他のランサムウェアと比較して、Netwalkerのフィッシングメールは頻繁に発生します。これらの電子メールは正当に見え、被害者を簡単に誤解させます。通常、NetwalkerはCORONAVIRUS_COVID-19.vbsという名前のVBSスクリプトを 添付します。これは、受信者が悪意のあるスクリプトを含む添付のテキストドキュメントを開いた場合に、ランサムウェアを起動します。

ステップ2：データを盗み出し、暗号化する

スクリプトが開いてシステム上で実行される場合、Netwalkerはネットワークへの侵入を開始しています。この瞬間から、暗号化へのカウントダウンが始まります。システムに侵入すると、ランサムウェアは疑うことを知らないプロセスになり、通常はMicrosoftの実行可能ファイルの形式になります。これは、実行可能ファイルからコードを取り除き、process.exeにアクセスするために独自の悪意のあるコードを挿入することによって行われます。この方法は、プロセスホローイングとして知られてい ます。これにより、ランサムウェアは、データの抽出と暗号化、バックアップの削除、および誰かが何か問題に気付いた場合の抜け穴の作成に十分な時間オンラインを維持することができます。

ステップ3：データの恐喝と回復（または損失）

Netwalkerがデータの抽出と暗号化を完了すると、被害者はデータが盗まれたことを発見し、身代金のメモを見つけます。 Netwalkerの身代金メモは比較的標準的です。データを安全で健全な状態に戻したい場合に、何が起こったのか、ユーザーが何をすべきかを説明しています。サーカススパイダーは、TORブラウザポータルを使用してビットコインで支払うために一定の金額を必要とします。





（ ソース）



被害者が要件を満たしたら、個々の復号化ツールにアクセスして、データを安全に復号化できます。

被害者が時間内に要件に従わない場合、攻撃者は身代金を増やすか、盗んだデータの全部または一部をダークネットに公開します。



以下は、特定のNetwalker攻撃パスの図です。





（ 出典）

Netwalkerランサムウェアから保護するためのヒント

Netwalkerはより洗練され、防御するのがより困難になっています。これは主に、「アシスタント」のネットワークの成長によるものです。



次の簡単な緩和手順をお勧めします。

• 重要なデータをローカルデータストレージにバックアップします。
• 重要なデータのコピーがクラウドの外付けハードドライブまたはストレージデバイスに保存されていることを確認します。
• , , ;
• ;
• Wi-Fi. VPN;
• ;
• , . Netwalker, -, , , , .

これらの手順は、システムに感染した後にランサムウェアによる被害を軽減するのに役立ちますが、それでも被害を軽減するだけです。これらの手順を積極的に実行することで、ランサムウェアがシステムに侵入した後の拡散を防ぎ、被害を軽減することができます。情報セキュリティの基本について従業員に情報を提供し、トレーニングすることは、Netwalkerとの戦いにおける強力なツールになります。

フィッシング詐欺に騙されないでください

Netwalkerは主に、悪意のあるリンクや実行可能ファイルを含むフィッシングメールを送信することでシステムに感染するため、フィッシングメールの危険性と、疑わしいメールを除外するために注意すべき点を組織に通知することは、機密データを保護するために必須です。



情報セキュリティの基礎に関する必須の定期的なトレーニングは、組織が悪意のある電子メールの兆候を特定するのに役立つ優れた防止ツールです。リンクをクリックするか、ファイルをダウンロードするか、資格情報を共有するかを尋ねる電子メールを受信するたびに注意すべき点は次のとおりです。

• 電子メールの送信元の名前とドメインを注意深く確認してください。
• メッセージの件名と本文に明らかなスペルミスがないか確認してください。
• 資格情報を提供しないでください-正当な送信者が資格情報を要求することは決してありません。
• 添付ファイルを開いたり、疑わしいリンクをダウンロードしたりしないでください。
• 疑わしい電子メールを情報セキュリティチームに報告してください。

また、シミュレートされた攻撃を実行することをお勧めし ます。組織内の人々に偽のフィッシングメールを送信することは、セキュリティトレーニングの効果を評価し、これについてさらに支援が必要な人を特定するための優れた方法です。ユーザーエンゲージメントの指標を追跡して、リンクや添付ファイルを操作しているユーザー、資格情報を発行しているユーザー、または組織内の担当サービスに報告しているユーザーを確認します。

行動分析に基づく脅威検出システムを使用する

ランサムウェアに関連するフィッシング攻撃を認識して対応するように組織をトレーニングすることは、機密データを保護する上で非常に役立ちます。ただし、動作分析に基づく脅威の早期検出は、ランサムウェアの破壊的な影響に対する脆弱性を制限するのに役立ちます。



侵害されたユーザーアカウントが機密データにアクセスし始めると、行動脅威検出は即座に認識して通知します。たとえば、Varonisはいくつかの動作を使用して、特定のユーザーが通常どのようにデータにアクセスするかを調べます。これにより、データへのユーザーアクセスの性質またはデータの量が通常と異なり始める時期を判断できます。 Varonisは、手動アクションと自動アクションを区別し、ユーザーが異常な方法でファイルの移動または暗号化を開始した場合にキャッチし、ランサムウェアを最初から停止します。お客様の多くは、アカウントを切断してアクティブな接続を終了することにより、この動作への応答を自動化します。



ランサムウェアが既知の侵入ツールをディスクに保存しているとき（一般的なNetwalker戦術）、またはユーザーがファイル共有でパスワードやその他の機密データを含むファイルを検索しているときを認識するために、ファイルシステムのアクティビティを継続的に監視することも重要 です。



通常、どのユーザーアカウントも必要以上のデータにアクセスできるため、これらの検索は多くの場合有益です。これらのリスクを軽減する方法を以下でお読みください。

ゼロトラストモデルに移行する

正しい検出は、ランサムウェアから組織を保護するための重要なステップです。ただし、ランサムウェアが最初の検出で気付かれなくても、その被害が最小限になるような条件を作成することも同様に重要です。組織は、公開するデータを最小限に抑えることでこれを行うことができます。したがって、暗号化または盗難される可能性のあるデータの量は制限されます。



Netwalkerランサムウェアの被害者であると思われる場合は、任意の期間にユーザーが行ったすべてのファイルアクセスと変更を検索して、影響を受けるファイルを特定し、正しいバージョンを復元します。また、Varonisインシデント対応サービスに連絡することもできます。無料でインシデントの調査をお手伝いします。