Google waarschuwt gebruikers voor een toename van door de overheid gesponsorde phishing-aanvallen waarbij gebruik wordt gemaakt van de NetWalker-ransomware tijdens de COVID-19-pandemie
Nu mensen over de hele wereld hun dagen in zelfquarantaine doorbrengen en zich houden aan de richtlijnen voor sociale afstand als gevolg van het coronavirus, hebben cybercriminelen deze ongekende historische gebeurtenis gebruikt om te profiteren van nietsvermoedende slachtoffers terwijl ze nieuwe varianten van ransomware verspreiden via een reeks van agressieve phishing-campagnes over het coronavirus.
Een van deze ransomware varianten is de NetWalker-ransomware.
Telewerkers, bedrijven, overheidsinstanties en gezondheidsorganisaties zijn allemaal het slachtoffer geworden van NetWalker-aanvallen.
Er werden twee veel gerapporteerde gevallen waarbij NetWalker betrokken was, uitgevoerd tegen de Toll Group, een Australisch transport- en logistiekbedrijf, en de Illinois Champaign-Urbana Public-Health District-website, waardoor hun werknemers tijdelijk geen toegang hadden tot belangrijke bestanden en gegevens. De laatste aanval was ernstig genoeg om de FBI en het ministerie van Binnenlandse Veiligheid te dwingen in te grijpen.
Netwalker Ransomware is een Trojaans paard dat bestanden vergrendelt en een variant is van een bedreiging die voor het eerst werd opgemerkt in 2019, genaamd Mailto Ransomware. De hackers achter Netwalker Ransomware hebben hun inspanningen opgevoerd tijdens de uitbraak van het coronavirus, net als veel andere cybercriminelen die hebben geprofiteerd van de razernij rond COVID-19 om agressieve spearphishing-campagnes te lanceren.
Verspreiding en codering van Netwalker Ransomware
De Netwalker Ransomware lijkt gebruik te maken van spam-e-mails die beweren een belangrijk document te bevatten dat dringend moet worden gecontroleerd. De naam van het bijgevoegde bestand is 'CORONAVIRUS_COVID-19.vbs.' Dit is een Visual Basic Script-bestand dat is ontworpen om eruit te zien als een echt, onschadelijk documentbestand. Als de beoogde gebruiker het kwaadaardige VBS-bestand opent, activeert hij of zij de uitvoering van de Netwalker Ransomware.
Zodra de Netwalker Ransomware succesvol is uitgevoerd, begint het coderingsproces. Dit betekent dat alle gegevens op het systeem van de gebruiker – documenten, afbeeldingen, presentaties, databases, archieven, audiobestanden, spreadsheets, video's, enz. – worden vergrendeld met behulp van een coderingsalgoritme. Nadat het coderingsproces is voltooid, zijn de getroffen bestanden niet langer bruikbaar.
De meeste ransomware-bedreigingen hebben de neiging om een vaste extensie aan alle vergrendelde bestanden toe te voegen. De Netwalker Ransomware hanteert echter een andere aanpak. Deze gegevensversleutelende Trojan genereert voor elk slachtoffer een unieke extensie. Volgens onderzoekers zijn er in het geval van de Netwalker Ransomware geen karakterbeperkingen als het gaat om het genereren van een extensie.
Het losgeldbriefje
De Netwalker Ransomware zal een losgeldbrief op de computer van de gebruiker plaatsen om hen te laten weten wat er met hun systemen is gebeurd. In het losgeldbericht stellen de aanvallers dat er geen uitweg uit deze situatie is tenzij het slachtoffer besluit het gevraagde losgeld te betalen.) Er wordt geen melding gemaakt van een specifiek losgeld, dus het is waarschijnlijk dat het bedrag individueel zal worden berekend voor elk slachtoffer. De auteurs van de Netwalker Ransomware vragen de gebruiker om de TOR-browser te downloaden en te installeren om toegang te krijgen tot hun site, die verdere informatie en instructies bevat.
Hi!
Uw bestanden zijn gecodeerd.
Alle gecodeerde bestanden voor deze computer hebben de extensie: .1401
-
Als u om de een of andere reden deze tekst leest voordat de codering is beëindigd,
dit kan worden begrepen uit het feit dat de computer langzamer wordt,
en uw hartslag is verhoogd doordat u deze kunt uitschakelen,
dan raden wij u aan de computer achter u te laten en te accepteren dat u bent gecompromitteerd,
opnieuw opstarten/afsluiten zorgt ervoor dat je bestanden kwijtraakt zonder de mogelijkheid tot herstel en zelfs god zal je niet kunnen helpen,
het kunnen bestanden op het netwerk zijn die toebehoren aan andere gebruikers. Weet u zeker dat u die verantwoordelijkheid wilt nemen?
-
Onze versleutelingsalgoritmen zijn erg sterk en uw bestanden zijn zeer goed beschermd. U kunt niet hopen ze zonder onze hulp te herstellen.
De enige manier om uw bestanden terug te krijgen is door met ons samen te werken en het decryptieprogramma aan te schaffen.
Probeer uw bestanden niet te herstellen zonder een decoderingsprogramma. U kunt ze beschadigen en dan zijn ze onmogelijk meer te herstellen.
Wij adviseren u zo snel mogelijk contact met ons op te nemen, anders bestaat de kans dat uw bestanden nooit meer terug komen.
Helaas zijn er momenteel geen zwakke punten in de ransomware bekend. Dat feit maakt het uiterst moeilijk voor beveiligingsonderzoekers om een openbare decoderingstool te creëren. Hoe het ook zij, slachtoffers worden altijd dringend verzocht het losgeld niet te betalen. Er is geen garantie dat de hackers de bestanden zullen herstellen zoals ze beloven, of dat de computer in de toekomst niet opnieuw geïnfecteerd zal raken.
Nu cybercriminelen profiteren van belangrijke nieuwsgebeurtenissen zoals de pandemie van het coronavirus, moet iedereen waakzamer zijn als het gaat om verdacht ogende e-mails die beweren essentieel nieuws en informatie te bevatten, aangezien er meestal geen duidelijke tekenen zijn dat een e-mail mogelijk malware bevat. En onthoud altijd dat u zich bij het zoeken naar uw nieuws moet houden aan officiële bronnen.
