O grupo que opera o ransomware NetWalker está se afastando do phishing como método de distribuição de malware e adotando um modelo de intrusão de rede focado apenas em grandes empresas. Como se trata de uma operação de ransomware como serviço (RaaS), o NetWalker conta com parceiros para disseminar o malware. Pelo novo modelo, o grupo aceita apenas um tipo específico de colaborador: intrusos de rede altamente qualificados que podem mapear o ambiente e escalar seu acesso.
Distanciar-se dos ataques em massa é uma tendência iniciada no ano passado por operadores de ransomware de “grandes ligas” como Sodinokibi/REvil, cujos afiliados começaram a comprar acesso à rede de grandes corporações. Outros afiliados criaram equipes especializadas para operações de intrusão de rede.
É esse tipo de talento que o NetWalker está procurando agora com seus afiliados. No dia 19 de abril eles anunciaram esses critérios rigorosos de seleção em um fórum russo sobre hackers.
Veja isso
Ransomware com dupla extorsão chega aos hospitais
Travelex pagou US$ 23 milhões em resgate de ransomware
“O coletivo está escolhendo seletivamente os afiliados com os quais colabora, criando um grupo exclusivo de intrusos de primeira linha para executar seu novo modelo de negócios RaaS”, escreve Yelisey Boguslavskiy, diretora de pesquisa de segurança da Advanced Intelligence (AdvIntel), em um relatório publicado nesta quarta-feira, 20.
Em março, o grupo ainda aceitava a distribuição de malware via spam, mas enfatizou que eles estavam interessados em qualidade e não em quantidade. Eles manifestaram uma preferência por parceiros que pudessem trabalhar com grandes redes e já tivessem acesso.
As regras mudaram um mês depois, deixando claro que eles aceitariam apenas especialistas em rede que tivessem acesso às redes de destino. Se a colaboração se mostrar lucrativa, o NetWalker abrirá o acesso ao seu serviço e fornecerá acesso à rede e detalhes da receita sobre a vítima por uma porcentagem do lucro.
O grupo promete lucros atraentes para os “principais atores”. Se eles cumprirem as regras e os resgates forem pagos, os afiliados poderão receber 80% dos pagamentos, ou até 84% se os “ganhos” da semana anterior estiverem acima de US$ 300 milhões.
Normalmente, os operadores de RaaS compartilham com afiliadas 70% ou até 60% do dinheiro do resgate. Comparativamente, a oferta dos operadores do Netwalker é bastante generosa.
Código de conduta estrito
Existem poucas regras que os afiliados devem seguir para manter seus assentos na mesa do quartel general do NetWalker. Uma delas é sempre restaurar os arquivos das vítimas que pagam o resgate. Outra, é evitar negócios ou alvos russos na região da Comunidade de Estados Independentes (CEI) — isso também se aplica a Sodinokibi e GandCrab.
Os afiliados poderão receber mais de US$ 1 milhão com um único pagamento de resgate, disse um representante do grupo, anunciado em um fórum de hackers russo. Eles realizaram apresentação com imagens dos resgates que o Netwalker recebeu das vítimas. Segundo o grupo, os pagamentos variam entre US$ 696 mil e US$ 1,5 milhão.
Quanto ao malware em si, os operadores do NetWalker afirmam que ele funciona em todas as versões do Windows a partir do Windows 2000 e possui um catálogo multiencadeado personalizável com várias configurações de criptografia (completo/parcial, exceções de arquivo e tarefas a serem concluídas).
