Los cibercriminales también se aprovechan de la actualidad para hacer negocio, cómo vamos a ver en este artículo sobre el ransomware NetWalker, un malware que aprovechó la alarma social generada por la pandemia de Covid-19 para infectar tanto a ciudadanos particulares como a objetivos más grandes, entre ellos centros médicos y educativos.
En este artículo hablamos de:
¿Qué es NetWalker?
NetWalker es un tipo de ransomware que se dio a conocer en septiembre de 2019, pero ganó mucha más notoriedad en marzo de 2020, justo cuando muchos países comenzaron a declarar estados de emergencia y confinamientos por el Covid-19.
NetWalker es una evolución de Mailto y se atribuye su creación al grupo ruso Circus Spider. Además, este ransomware, tras lo que aparentemente fueron pruebas de concepto para probar y demostrar su eficacia, pasó a funcionar como un ransomware as a service (RaaS), donde el grupo desarrollador del malware ofrece, a través de la dark web, un sistema de afiliación para utilizarlo y propagarlo entre diferentes objetivos, a cambio de quedarse con un porcentaje del rescate.
Para ser afiliados de NetWalker, aparte de tener los conocimientos y habilidades que exigían sus creadores, también había otra serie de reglas que seguir, entre ellas, no atacar organizaciones ubicadas en la región de Rusia y la Comunidad de Estados Independientes. Además, también se debían devolver los archivos robados a las víctimas, una vez pagado el rescate (es importante señalar que esto nunca es garantía de que vaya a ocurrir).
¿Cómo funciona NetWalker?
Como otros tipos de malware, NetWalker se distribuye vía correo electrónico, a través de campañas masivas de emails fraudulentos, que en muchos casos llevaban como asunto y archivos adjuntos supuesta información sobre el Covid-19. Por ejemplo, VirusTotal clasificó como malicioso el archivo CORONAVIRUS_COVID-19.vbs detectado en marzo de 2020.
De acuerdo al análisis del ransomware NetWalker llevado a cabo sobre algunas muestras de este malware, se distribuía a través de un dropper desarrollado en Visual Basic Script (VBS) incluido como archivo adjunto en el email fraudulento. Una vez ejecutado, NetWalker comenzaba a encriptar tus archivos, impidiendo así su uso, aunque se mantenía el acceso.
El ataque del ransomware NetWalker seguía cuatro fases distintas:
- Primero importa las funciones de las librerías de Windows que va a usar durante la ejecución.
- El fichero de configuración de NetWalker se extrae de los recursos del ejecutable.
- Inicialización de variables.
- Comienza el proceso de cifrar datos y archivos, aunque antes ha eliminado las copias de seguridad que se generan a través del servicio VSS (Volume Shadow Copy).
Durante el proceso de cifrado, se genera un identificador único de seis caracteres, que funcionará como ID de la víctima afectada, y como extensión para los archivos que han sido encriptados, además, aparece como parte del nombre en la nota de rescate, en la que se dan las instrucciones para proceder al desencriptado de los archivos secuestrados, previo pago de la cantidad especificada (siempre en criptomonedas), dentro de un plazo de tiempo determinado.
Una vez ha infectado un equipo, además, NetWalker se puede propagar relativamente fácil a otros equipos conectados a la misma red de Windows en la que esté conectado el equipo infectado originalmente.
Los objetivos de NetWalker
Los primeros objetivos de NetWalker fueron usuarios particulares, con demandas de rescates no muy elevadas (si las comparamos a las que se piden cuando el objetivo es una gran empresa), pero a partir de marzo-abril de 2020, los objetivos de los cibercriminales detrás de este ransomware cambiaron y pasaron a atacar grandes objetivos, a quienes podían demandar mayores cantidades de dinero.
Entre sus nuevos objetivos, empresas privadas, hospitales (aunque sus creadores llegaron a negarlo), organismos públicos y centros educativos. Para entrar en estas redes, los ataques se dirigían a VPN con vulnerabilidades sin parchear y contraseñas débiles empleadas en protocolos de escritorio remotos (es decir, aprovecharon el aumento del teletrabajo durante los primeros meses de confinamiento para poder penetrar en las redes internas de sus objetivos).
Una vez están en la red, como hemos visto, cifran los archivos y envían la carta de rescate para exigir una cuantía de dinero determinada a cambio de la clave de desencriptado.
¿Cómo puedes detectar el ransomware NetWalker?
La detección del ransomware NetWalker se produce en el momento en que vemos que hay archivos que han cambiado su extensión, como ya hemos visto, añadiendo a la misma el identificador de seis dígitos que comentábamos más arriba. Antes de llegar a ese punto, salvo que se disponga de una solución de seguridad capaz de detectar la presencia de ransomware en el sistema o previamente a que entre (como puede ser un sistema EDR), es muy complicado detectarlo antes de que comience a causar daños.
Una vez que se es consciente de que un equipo está infectado, lo que se debe hacer es retirarlo de la red cuanto antes, para impedir que se siga propagando el ransomware a otros equipos, especialmente, porque NetWalker puede cifrar también las copias de seguridad que estén almacenadas en dispositivos conectados a esa red.
¿Cómo puedes eliminar NetWalker de tu empresa?
No es raro que las víctimas de ransomware decidan pagar el rescate exigido, puesto que muchas veces no pueden permitirse perder la información encriptada, sin embargo, autoridades y expertos en ciberseguridad siempre aconsejan no acceder al chantaje y no pagar los rescates, porque nunca hay una garantía real de que se vayan a poder recuperar todos los archivos y, además, se sienta un precedente como víctima que está dispuesta a pagar.
Puesto que aún no se conoce un descifrador para desencriptar los archivos afectados, la única solución para la eliminación del ransomware NetWalker es, primero, aislar los equipos que hayan podido verse afectados, para frenar la propagación del ataque a otros dispositivos. Aquí hay que tener en cuenta tanto ordenadores, como unidades de memoria externa y de almacenamiento en la nube.
A continuación, se puede tratar de clonar el disco duro infectado, para tratar de recuperar los archivos encriptados en este disco clonado y así no poner en riesgo el original, aunque es probable que no se puedan recuperar.
Escanear todos los equipos afectados para detectar el malware y limpiarlo (puede que sea necesario formatearlos), para eliminarlo completamente.
Es recomendable también cambiar todas las contraseñas de usuarios en todos los equipos y de acceso a la red, para evitar posibles accesos no deseados a la propia red o cualquier tipo de cuenta a la que accedan los usuarios desde esos equipos.
Como veis, es sumamente importante hacer copias de seguridad o contar con un centro de respaldo independiente de la red interna de la empresa, para garantizar la seguridad y continuidad de la empresa en caso de ser víctimas de un ataque de ransomware. NetWalker es un buen ejemplo, además, porque puede afectar a las copias de seguridad que se encuentren conectadas a red afectada.
Realizar estos backups de forma periódica es una de las medidas de ciberseguridad para pymes básica, puesto que aseguran una recuperación y restauración del sistema y la información mucha más rápida y una pérdida de información mucho menor.
Principales organizaciones afectadas por el ransomware NetWalker
El ransomware NetWalker ha sido uno de los más activos y de los que más ha sabido aprovechar las carencias en materia de ciberseguridad durante la crisis del Covid, puesto que su campaña de ataques se intensificó precisamente durante las primeras etapas de confinamiento y, como hemos dicho, utilizaban supuesta información sobre el virus como cebo.
Algunas de las organizaciones que vieron cómo se quedaban sin acceso a sus archivos por el ransomware NetWalker fueron:
- El sistema de salud Crozer-Keystone de Filadelfia (cuatro hospitales y varios centros de salud) sufrió un ataque con este ransomware a mediados de junio de 2020.
- El Hospital Universitario de Brno en la República Checa fue atacado en marzo de 2020, retrasando los resultados de las pruebas de Covid que se procesaban allí.
- En España varios hospitales fueron víctimas de NetWalker en marzo de 2020.
- La Universidad Estatal de Michigan, la Universidad de Columbia en Chicago o la Universidad de California en San Francisco también quedaron afectadas por este ransomware.
- La ciudad austriaca de Weiz también fue uno de los objetivos de NetWalker en mayo de 2020, que logró introducirse en la red pública de la ciudad.
- La Dirección Nacional de Migraciones de Argentina también fue atacada con NetWalker en septiembre de 2020, lo que obligó a desconectarla de la red durante un tiempo, para frenar la propagación del virus.
Como veis, prácticamente cualquier tipo de empresa u organización pública es susceptible de convertirse en víctima de un ataque de ransomware.
Como buena noticia, parece que NetWalker está más cerca de encontrar su fin, puesto que el Departamento de Justicia de EE. UU., en colaboración con autoridades búlgaras, estaría llevando a cabo una acción para detener este ransomware, detener a sus creadores y recuperar los pagos de las víctimas. En marzo de 2021 se habría producido una primera detención de un ciudadano canadiense acusado de haber ganado 27,6 millones de dólares con ciberataques de NetWalker.
Pero mientras siga existiendo esta y otras amenazas de ransomware, recordar que la mejor defensa es la precaución y el sentido común, además de contraseñas fuertes. No abráis emails sospechosos, sobre todo, no descarguéis archivos adjuntos de ellos y, si parecen legítimos, comprobad bien la dirección del remitente. Y ante la duda, poneros en contacto con él y enviad el email a la papelera.