Os Operadores do Netwalker Ransomware Recrutam Afiliados Oferecendo Enormes Pagamentos
Uma operação de ransomware chamada Netwalker está trabalhando no recrutamento de afiliados com a promessa de um retorno em milhões de dólares. A campanha está associada a um blog de vazamento automático de dados para exigir mais pagamentos de resgate.
A operação começou como o Mailto, sendo responsável por muitos ataques de alto perfil. Os autores de ameaças renomearam-se como Netwalker em março de 2020 e começaram a trabalhar no recrutamento de afiliados para distribuir o seu ransomware. Os afiliados estavam preparadas para controlar a violação de redes e a implantação de ransomware, recebendo a maioria dos pagamentos que ela trazia.
Índice
Promessas de Mais Dinheiro pelos Cibercriminosos do Netwalker
A Advanced Intelligence, uma empresa de inteligência cibernética, descobriu que o operador público do Netwalker Ransomware estava entrevistando afiliados em potencial para esse programa desde março de 2020. O Netwalker descreveu as melhorias que eles fizeram na sua operação em um post, compartilhando dados sobre os pagamentos de resgate recebidos e como eles extorquiam as vítimas escolhidas.
A Mensagem de um Afiliado da Netwalker Fonte: Twitter
Os Pagamentos de Resgate têm uma Média de US $696.000 a US $1,5 Milhão
É oferecido aos afiliados 70% do valor do resgate pago, supostamente permitindo que eles recebam quantias massivas de até ou mais de um milhão de dólares americanos em um único pagamento de resgate. Além dos pagamentos impressionantemente grandes, a Netwalker está promovendo o site de publicação automática com vazamento de dados, permitindo que os afiliados enviem links para os dados roubados. Eles também podem definir datas em que as informações serão divulgadas publicamente se os pagamentos não forem feitos.
Esse tipo de abordagem se tornou mais comum no início de 2020 para os operadores de ransomware, roubando dados antes de criptografá-los e mantendo esse material extra como chantagem sobre suas vítimas. Os cibercriminosos ameaçam as vítimas com a liberação pública dos arquivos confidenciais nos sites de vazamento de dados, se o resgate não for pago.
Os operadores Netwalker levaram as coisas a um novo nível quando criaram um site de vazamento que permite que seus afiliados recrutados criem postagens. Isso inclui o nome da vítima, descrição, uma senha para arquivos de dados, links para os dados e a hora e a data em que os dados vazaram. O site mostra uma contagem regressiva com os dados de uma vítima específica para empurrar as vítimas para a ansiedade, forçando-as a considerar o pagamento. Quando a contagem regressiva é concluída, o vazamento é publicado automaticamente com um link e uma senha para os dados roubados. Os dados costumam ser hospedados no site de compartilhamento de arquivos MEGA.
A Nota de Resgate do Netwalker
Como o Netwalker Ransomware Opera?
O Netwalker Ransomware geralmente se espalha por e-mails de phishing, atualmente com o tema COVID-19, mascarado como alertas de saúde de autoridades respeitadas. Os emails são emparelhados com anexos mal-intencionados, escritos em um script VB, capazes de infectar uma máquina simplesmente abrindo o documento anexado. Depois que o documento é executado, ele criptografa os arquivos no dispositivo e adiciona uma extensão aleatória aos dados criptografados, que é o modus operandi padrão de um ransomware.