Atacantes aprovechan Covid-19 para distribuir el RANSOMWARE NetWalker

Desde principios del año 2020 las noticias sobre el Covid-19 invaden los medios de comunicación, cada día surgen nuevas estadísticas, cambios de mecanismos para actuar en estos días difíciles para la humanidad, y los cibercriminales no pierden oportunidad para aprovecharse de las crisis globales y utilizarlas como motivo para lanzar amenazas y ataques. Algunos han utilizado el temor en torno al Covid-19 (coronavirus), mismos que han sido detectados por los profesionales.

Recientemente nos levantábamos con la noticia de que un ransomware, conocido como NetWalker, «Pretenden romper todo el sistema informático de las empresas, las agencias gubernamentales y las organizaciones de salud». Y es que, en caso de que un ataque informático contra un centro sanitario tuviese éxito en estos momentos, las consecuencias podrían ser especialmente negativas.

El 18 de marzo de este año se analizó, por primera vez, el archivo CORONAVIRUS_COVID-19.vbs en la herramienta VirusTotal y a la fecha de 31 de marzo, 32 de los 59 motores antivirus que gestiona VT han clasificado la muestra como maliciosa.

El ransomware NetWalker se descubrió en agosto de 2019, inicialmente se llamó Mailto en función de la extensión que se adjuntó a los archivos cifrados, pero el análisis de uno de sus descifradores indica que su nombre es NetWalker.

Dos ataques ampliamente denunciados con NetWalker se produjeron en Toll Group, una empresa australiana de transporte y logística, y en el sitio web del Distrito de Salud Pública de Champaign-Urbana de Illinois (CUPHD), que impidió temporalmente a los empleados del distrito de salud acceder a ciertos archivos.

El ataque obligó al FBI y al Departamento de Seguridad Nacional de los EE. UU. A intervenir, mostrando la gravedad de esta crisis y lo importante que es estar familiarizado con esta variante para evitar nuevos ataques.

¿Cómo funciona?

NetWalker compromete la red y cifra todos los dispositivos Windows conectados a ella.

¿Cuándo se ejecuta?

NetWalker utiliza una configuración integrada que incluye una nota de rescate, nombres de archivos de notas de rescate y varias opciones de configuración.

¿Cómo se propaga?

NetWalker se propaga de dos maneras.

1. Una forma es a través de un script VBS que se ha Adjuntado a Correos Electrónicos de Phishing de Coronavirus que ejecutan la carga útil del ransomware una vez que se hace doble clic o al abrir los documentos de la oficina que contienen el script VBS en su interior.
2. El segundo método ocurre a través de un archivo ejecutable que se ha extendido en la red, y una vez que ha sido ejecutado por el usuario, sin los guardias adecuados, se termina el juego.

Estas son algunas de nuestras recomendaciones para ayudar a evitar ataques de ransomware:

• Realice regularmente copias de seguridad de datos críticos para mitigar los efectos de un ataque de ransomware
• Aplique los últimos parches de software del sistema operativo y de terceros.
• Ejercer buenas prácticas de seguridad de correo electrónico y sitio web para los empleados, alerta al equipo de seguridad de TI de correos electrónicos y archivos potencialmente sospechosos.
• Implemente la lista blanca de aplicaciones en sus puntos finales para bloquear todas las aplicaciones desconocidas y no deseadas.
• Educar regularmente a los empleados sobre los peligros de la ingeniería social.
• De detectar un correo spam, phishing o cualquier actividad anómala en su computadora reportarlo inmediatamente a los encargados de seguridad de la información de su institución.
• Escanear todo el software descargado de Internet antes de la ejecución.
• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.