¡Pide presupuesto en 2 min! ✓
Ciberseguridad

NetWalker, el ransomware que se aprovechó del Covid-19 para atacar centros educativos y de salud

6 Mins read

Los cibercriminales también se aprovechan de la actualidad para hacer negocio, cómo vamos a ver en este artículo sobre el ransomware NetWalker, un malware que aprovechó la alarma social generada por la pandemia de Covid-19 para infectar tanto a ciudadanos particulares como a objetivos más grandes, entre ellos centros médicos y educativos.

¿Qué es NetWalker?

NetWalker es un tipo de ransomware que se dio a conocer en septiembre de 2019, pero ganó mucha más notoriedad en marzo de 2020, justo cuando muchos países comenzaron a declarar estados de emergencia y confinamientos por el Covid-19.

NetWalker es una evolución de Mailto y se atribuye su creación al grupo ruso Circus Spider. Además, este ransomware, tras lo que aparentemente fueron pruebas de concepto para probar y demostrar su eficacia, pasó a funcionar como un ransomware as a service (RaaS), donde el grupo desarrollador del malware ofrece, a través de la dark web, un sistema de afiliación para utilizarlo y propagarlo entre diferentes objetivos, a cambio de quedarse con un porcentaje del rescate.

Para ser afiliados de NetWalker, aparte de tener los conocimientos y habilidades que exigían sus creadores, también había otra serie de reglas que seguir, entre ellas, no atacar organizaciones ubicadas en la región de Rusia y la Comunidad de Estados Independientes. Además, también se debían devolver los archivos robados a las víctimas, una vez pagado el rescate (es importante señalar que esto nunca es garantía de que vaya a ocurrir).

¿Cómo funciona NetWalker?

Como otros tipos de malware, NetWalker se distribuye vía correo electrónico, a través de campañas masivas de emails fraudulentos, que en muchos casos llevaban como asunto y archivos adjuntos supuesta información sobre el Covid-19. Por ejemplo, VirusTotal clasificó como malicioso el archivo CORONAVIRUS_COVID-19.vbs detectado en marzo de 2020.

De acuerdo al análisis del ransomware NetWalker llevado a cabo sobre algunas muestras de este malware, se distribuía a través de un dropper desarrollado en Visual Basic Script (VBS) incluido como archivo adjunto en el email fraudulento. Una vez ejecutado, NetWalker comenzaba a encriptar tus archivos, impidiendo así su uso, aunque se mantenía el acceso.

El ataque del ransomware NetWalker seguía cuatro fases distintas:

  • Primero importa las funciones de las librerías de Windows que va a usar durante la ejecución.
  • El fichero de configuración de NetWalker se extrae de los recursos del ejecutable.
  • Inicialización de variables.
  • Comienza el proceso de cifrar datos y archivos, aunque antes ha eliminado las copias de seguridad que se generan a través del servicio VSS (Volume Shadow Copy).

Durante el proceso de cifrado, se genera un identificador único de seis caracteres, que funcionará como ID de la víctima afectada, y como extensión para los archivos que han sido encriptados, además, aparece como parte del nombre en la nota de rescate, en la que se dan las instrucciones para proceder al desencriptado de los archivos secuestrados, previo pago de la cantidad especificada (siempre en criptomonedas), dentro de un plazo de tiempo determinado.

Una vez ha infectado un equipo, además, NetWalker se puede propagar relativamente fácil a otros equipos conectados a la misma red de Windows en la que esté conectado el equipo infectado originalmente.

NetWalker

Los objetivos de NetWalker

Los primeros objetivos de NetWalker fueron usuarios particulares, con demandas de rescates no muy elevadas (si las comparamos a las que se piden cuando el objetivo es una gran empresa), pero a partir de marzo-abril de 2020, los objetivos de los cibercriminales detrás de este ransomware cambiaron y pasaron a atacar grandes objetivos, a quienes podían demandar mayores cantidades de dinero.

Entre sus nuevos objetivos, empresas privadas, hospitales (aunque sus creadores llegaron a negarlo), organismos públicos y centros educativos. Para entrar en estas redes, los ataques se dirigían a VPN con vulnerabilidades sin parchear y contraseñas débiles empleadas en protocolos de escritorio remotos (es decir, aprovecharon el aumento del teletrabajo durante los primeros meses de confinamiento para poder penetrar en las redes internas de sus objetivos).

Una vez están en la red, como hemos visto, cifran los archivos y envían la carta de rescate para exigir una cuantía de dinero determinada a cambio de la clave de desencriptado.

¿Cómo puedes detectar el ransomware NetWalker?

La detección del ransomware NetWalker se produce en el momento en que vemos que hay archivos que han cambiado su extensión, como ya hemos visto, añadiendo a la misma el identificador de seis dígitos que comentábamos más arriba. Antes de llegar a ese punto, salvo que se disponga de una solución de seguridad capaz de detectar la presencia de ransomware en el sistema o previamente a que entre (como puede ser un sistema EDR), es muy complicado detectarlo antes de que comience a causar daños.

Una vez que se es consciente de que un equipo está infectado, lo que se debe hacer es retirarlo de la red cuanto antes, para impedir que se siga propagando el ransomware a otros equipos, especialmente, porque NetWalker puede cifrar también las copias de seguridad que estén almacenadas en dispositivos conectados a esa red.

¿Cómo puedes eliminar NetWalker de tu empresa?

No es raro que las víctimas de ransomware decidan pagar el rescate exigido, puesto que muchas veces no pueden permitirse perder la información encriptada, sin embargo, autoridades y expertos en ciberseguridad siempre aconsejan no acceder al chantaje y no pagar los rescates, porque nunca hay una garantía real de que se vayan a poder recuperar todos los archivos y, además, se sienta un precedente como víctima que está dispuesta a pagar.

Puesto que aún no se conoce un descifrador para desencriptar los archivos afectados, la única solución para la eliminación del ransomware NetWalker es, primero, aislar los equipos que hayan podido verse afectados, para frenar la propagación del ataque a otros dispositivos. Aquí hay que tener en cuenta tanto ordenadores, como unidades de memoria externa y de almacenamiento en la nube.

A continuación, se puede tratar de clonar el disco duro infectado, para tratar de recuperar los archivos encriptados en este disco clonado y así no poner en riesgo el original, aunque es probable que no se puedan recuperar.

Escanear todos los equipos afectados para detectar el malware y limpiarlo (puede que sea necesario formatearlos), para eliminarlo completamente.

Es recomendable también cambiar todas las contraseñas de usuarios en todos los equipos y de acceso a la red, para evitar posibles accesos no deseados a la propia red o cualquier tipo de cuenta a la que accedan los usuarios desde esos equipos.

Como veis, es sumamente importante hacer copias de seguridad o contar con un centro de respaldo independiente de la red interna de la empresa, para garantizar la seguridad y continuidad de la empresa en caso de ser víctimas de un ataque de ransomware. NetWalker es un buen ejemplo, además, porque puede afectar a las copias de seguridad que se encuentren conectadas a red afectada.

Realizar estos backups de forma periódica es una de las medidas de ciberseguridad para pymes básica, puesto que aseguran una recuperación y restauración del sistema y la información mucha más rápida y una pérdida de información mucho menor.

Principales organizaciones afectadas por el ransomware NetWalker

El ransomware NetWalker ha sido uno de los más activos y de los que más ha sabido aprovechar las carencias en materia de ciberseguridad durante la crisis del Covid, puesto que su campaña de ataques se intensificó precisamente durante las primeras etapas de confinamiento y, como hemos dicho, utilizaban supuesta información sobre el virus como cebo.

Algunas de las organizaciones que vieron cómo se quedaban sin acceso a sus archivos por el ransomware NetWalker fueron:

  • El sistema de salud Crozer-Keystone de Filadelfia (cuatro hospitales y varios centros de salud) sufrió un ataque con este ransomware a mediados de junio de 2020.
  • El Hospital Universitario de Brno en la República Checa fue atacado en marzo de 2020, retrasando los resultados de las pruebas de Covid que se procesaban allí.
  • En España varios hospitales fueron víctimas de NetWalker en marzo de 2020.
  • La Universidad Estatal de Michigan, la Universidad de Columbia en Chicago o la Universidad de California en San Francisco también quedaron afectadas por este ransomware.
  • La ciudad austriaca de Weiz también fue uno de los objetivos de NetWalker en mayo de 2020, que logró introducirse en la red pública de la ciudad.
  • La Dirección Nacional de Migraciones de Argentina también fue atacada con NetWalker en septiembre de 2020, lo que obligó a desconectarla de la red durante un tiempo, para frenar la propagación del virus.

Como veis, prácticamente cualquier tipo de empresa u organización pública es susceptible de convertirse en víctima de un ataque de ransomware.

Como buena noticia, parece que NetWalker está más cerca de encontrar su fin, puesto que el Departamento de Justicia de EE. UU., en colaboración con autoridades búlgaras, estaría llevando a cabo una acción para detener este ransomware, detener a sus creadores y recuperar los pagos de las víctimas. En marzo de 2021 se habría producido una primera detención de un ciudadano canadiense acusado de haber ganado 27,6 millones de dólares con ciberataques de NetWalker.

Pero mientras siga existiendo esta y otras amenazas de ransomware, recordar que la mejor defensa es la precaución y el sentido común, además de contraseñas fuertes. No abráis emails sospechosos, sobre todo, no descarguéis archivos adjuntos de ellos y, si parecen legítimos, comprobad bien la dirección del remitente. Y ante la duda, poneros en contacto con él y enviad el email a la papelera.

About author
Licenciada en Periodismo por la Universidad Complutense de Madrid. Redactora de contenidos informativos, jurídicos y empresariales, Internet, nuevas tecnologías, entorno digital, ciberseguridad y protección de datos.
Articles
Related posts
Ciberseguridad

El centro de operaciones de seguridad (SOC) ¿Cómo puede ayudar a tu empresa?

5 Mins read
Las amenazas de ciberseguridad que enfrentan las empresas son cada vez más sofisticadas y complejas, lo que provoca que la prevención de…
Ciberseguridad

Qué es un CISO y por qué se ha vuelto una figura importante para las empresas

6 Mins read
El aumento de los ciberataques a las empresas ha hecho que la figura del CISO cobre especial relevancia para estas, cada vez…
CiberseguridadTeletrabajo

Cómo mejorar la ciberseguridad en entornos de trabajo híbridos

7 Mins read
Los entornos de trabajos híbridos son prácticamente ya una realidad, en la que el trabajo remoto y presencial se combinan en la…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio está protegido por reCAPTCHA y se aplican la política de privacidad y los términos de servicio de Google.

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.