事件概述
据外国媒体最新报道,美国司法部昨天宣布,执法人员将干涉Netwalker勒索软件的活动,让Netwalker勒索软件被迫离线。此外,美国执法部门还将起诉加拿大公民,因为他涉嫌参与Netwalker勒索软件攻击活动中的文件加密勒索攻击。
与此同时,欧洲刑警组织也采取了行动。据了解,欧洲执法部门(欧洲刑警组织)已经开始向感染了Emotet勒索软件设备分发Emotet该模块计划于2021年3月25日帮助所有感染设备完全移除Emotet恶意软件。
美国执法部门将开始禁止Netwalker勒索软件
就在昨天,美国执法部门正式宣布取缔Netwalker勒索软件活动,并计划强制中断勒索软件活动。与此同时,美国执法部门还起诉一名涉嫌参与的人Netwalker加拿大公民勒索软件文件加密勒索攻击活动。
2021年1月27日,BleepingComputer报道称,美国和保加利亚的执法部门“查封”了暗网中的Netwalker网站。据了解,这个网站专门用于泄露未支付勒索软件赎金的目标用户数据,而且网络犯罪分子还会利用该网站来与受感染的用户协商数据解密所需的赎金费用。
在一份新闻稿中,美国司法部门证实了与保加利亚国家调查局和打击有组织犯罪总局的合作,并在打击网络犯罪活动中取得了巨大成功。
NetWalker勒索软件于2019年出现,类似于其他流行的勒索软件,该软件的运行也瞄准了世界。就像我们在一样Maze,Ragnar,REvil如其他公司所见,运营商通过数据威胁作为杠杆,迫使目标满足要求。到目前为止,有12个不同的 NetWalker被害人被盗数据已公开发布。Netwalker 活动背后的攻击者使用常见的实用程序、开发工具包和living-off-The-land,LOTL探索被破坏的环境,并尽可能多地吸收数据。这些工具可以包括在内mimikatz(及其变体),各种 PSTools、AnyDesk、TeamViewer、NLBrute等。
Netwalker背后的网络犯罪分子已被起诉
Netwalker勒索软件活动始于2019年底。虽然时间不长,但是Netwalker它给主要组织、机构和公司造成了数千万美元的经济损失。根据2020年8月发布的一份报告,Netwalker在短短五个月的时间里,网络犯罪分子利用勒索软件攻击活动赚取了2500万美元的非法收入。
美国司法部门表示,除了查封这些黑暗网站外,他们还将起诉一名来自加拿大加蒂诺的加拿大公民塞巴斯蒂安·瓦肖恩·德斯贾尔丁斯(Sebastien Vachon Desjardins),美国司法部门指控他涉嫌参与Netwalker与勒索软件活动相关的网络黑客勒索软件攻击。
据了解,塞巴斯蒂安·瓦肖恩·德斯贾尔丁斯(Sebastien Vachon Desjardins)勒索软件攻击中的非法利润约为2760万美元。根据执法人员的调查和证据收集,他至少于2020年4月开始参加勒索软件攻击,这表明他只是Netwalker背后的网络犯罪分子之一,不应该属于Netwalker勒索软件开发人员。
根据美国执法部门对他的起诉书,塞巴斯蒂安·瓦肖恩·德斯贾尔丁斯(Sebastien Vachon Desjardins)来自加拿大加蒂诺的加拿大公民,目前已在佛罗里达州中部地区被起诉。
勒索软件开发完成后,大多数勒索软件开发人员会招募一些类似塞巴斯蒂安的人·瓦肖恩·德斯贾尔丁斯(Sebastien Vachon Desjardins)这样的“中间商”,这些“中间商”它可以帮助勒索软件的攻击者找到更有价值的目标用户,从而攻击这些目标用户,并部署在他们的计算机系统上Netwalker勒索软件。当目标用户支付数据赎金时,Netwalker勒索软件背后的攻击者将跟随“中间商”利益分配,也就是分钱,而且“中间商”会拿大头。
20211月10日,美国执法部门查获了价值约45万美元的加密货币,来自三种不同的货币Netwalker勒索软件受害者。换句话说,这些加密货币是三名受害者支付的数据赎金。
Netwalker勒索软件不仅攻击和加密了一些知名企业、组织和机构的计算机系统,如Equinix、Enel集团、阿根廷移民局、加州大学旧金山分校(UCSF)和K-Electric,还攻击了市政当局、医院、执法机构、应急服务机构、学院、大学等。
毫无疑问,执法部门采取的行动并不意味着Netwalker勒索软件将完全消失,但今天肯定会很快到来。然而,美国执法部门这次只抓住了其中一个“中间商”,而Netwalker背后的网络犯罪分子肯定招了很多其他的。“中间商”,因为这种非法业务确实能让他们在短时间内赚很多钱。
欧洲刑警组织已经开始不甘示弱Emotet恶意软件!
与此同时,欧洲刑警组织也采取了行动。据了解,欧洲执法部门(欧洲刑警组织)已开始感染Emotet勒索软件设备分发Emotet该模块计划于2021年3月25日帮助所有感染设备完全移除Emotet恶意软件。
Emotet僵尸网络于2014年首次被发现,主要采用自动化过程,通过感染Word恶意软件通过文档电子邮件附件传播。Emotet基础设施实际上是全球计算机网络入侵的主要后门,僵尸网络依赖于世界各地“数百”恶意软件本身经常通过每次操作时修改代码来避免杀毒软件检测,以执行不同的任务。到目前为止,Emotet抵抗网络攻击的能力很强。
就在昨天,欧洲刑警组织正式宣布臭名昭著Emotet僵尸网络的主要功能是分发安装TrickBot和Qbot恶意垃圾邮件等恶意软件Word附件。
据安全研究专家介绍,这种攻击通常会导致感染公司的网络系统完全被网络入侵,并感染网络系统中的计算机设备Ryuk、Conti、ProLock或Egregor。而Ryuk和Conti主要通过TrickBot部署,ProLock和Egregor则通过Qbot完成部署。
Emotet2021年3月25日自动卸载
感染目标用户的计算机设备后,Emotet将不同的模块分发给执行不同恶意活动的感染设备。
一位名叫Milkream安全研究人员表示,有关部门已开始向感染设备推送新模块。该模块将于2021年3月25日12:00卸载感染设备Emotet恶意软件。
根据Milkream披露的信息,Emotet以下正在使用中IP所有这些服务器地址都位于德国:
- 80.158.3[.]161:443
- 80.158.51[.]209:8080
- 80.158.35[.]51:80
- 80.158.63[.]78:443
- 80.158.53[.]167:80
- 80.158.62[.]194:443
- 80.158.59[.]174:8080
- 80.158.43[.]136:80
在接受欧洲刑警组织新闻办公室电话采访时,BleepingComputer被告知德国联邦警察局(BKA)针对这一次Emotet行动负责。然而,欧洲刑警组织新闻办公室并不知道执法部门计划卸载Emotet恶意软件的具体日期和时间。
我们不知道为什么执法部门要等两个月才能卸载这个恶意软件。BleepingComputer也与德国联邦警察局在一起(BKA)联系,询问更多关于此次活动的信息。
随着执法部门的接管Emotet目前,僵尸网络的控制权正在分发一个新的功能模块, 将于今年3月卸载Emotet这意味着恶意软件,Emotet很有可能退出历史舞台。
但在此之前,也就是去年10月,美国政府和微软都进行了打击TrickBot恶意活动。当然,所有人都希望这次打击能有很长时间的影响,但好景不长,TrickBot很快恢复运行。
总结
无论如何,多国政府机构与杜宇安全研究人员和安全社区的合作仍然非常令人兴奋。此外,这种跨国和跨机构的合作也使每个人对网络安全的未来都更有希望,这无疑是一件有益而无害的事情。
本文翻译自 BLEEPING COMPUTER,原文链接 。