Netwalker勒索病毒服务私有化，只攻击目标企业

安全分析与研究

专注于全球恶意软件的分析与研究

2020年勒索病毒攻击出现了一些新的发展趋势，一些勒索病毒黑客组织将目标对准了一些国内外明星，网红博主等，还有一些勒索病毒黑客组织将自己的RAAS平台私有化，像之前比较流行的NEMTY勒索病毒黑客组织，就公开声称将自己的RAAS平台私有化，只对特定的人进行私人制定服务，详细内容可参考此前的文章：黑吃黑?NEMTY勒索病毒RAAS服务私有化

笔者近期观察到一款新型的勒索病毒变种样本Netwalker，这款勒索病毒传播变种迅速非常快，在短短的半个月时间里，已经发现了它的几个不同的变种版本，这些变种版本的核心代码基本一致，不过每个不同的变种都使用了不同的加载方式，主要通过VBS脚本、PS脚本、EXE外壳加载等方式，该勒索病毒在过去的两个月的时间里，一直在暗网论坛上非常活跃，根据其黑客组织公布的受害者数据，其感染的企业数量正在不断增长

Netwalker勒索病毒，也称为Mailto勒索病毒，首次于2019年8月被发现，最初的名字是基于其加密后的文件扩展名命名为Mailto，在随后的研究中，对其解密信息进行分析表明这款勒索病毒名称应该为Netwalker，此勒索病毒针对家庭用户、企业、政府机构和卫生组织均发起过网络攻击，相关的攻击案例，如下所示：

1.2020年1月，针对澳大利亚运输和物流公司Toll Group公司进行网络钓鱼攻击，加密了连接至公司网络的所有的Windows设备，高达1000台主机被感染加密，导致该公司关闭了公司的大部分IT系统

2.2020年3月，随着全球COVID-19冠状病毒的大流行，NetWalker勒索病毒黑客组织通过伪装成冠状病毒疫情的钓鱼邮件，对伊利诺伊州的香槟厄巴纳公共卫生区（CHUPD）机构网站发起攻击，导致该机构的网站下线，该网站为美国近四分之一的人口提供服务，包括该州最大的大学在内的21万名群众

Netwalker勒索病毒也是一款基于RAAS(勒索即服务)模式进行分发的勒索病毒，此前该勒索病毒黑客组织在论坛上已经公布了这款勒索病毒的RAAS分发模式信息，黑客组织提供了NetWalker勒索病毒样本以及后台控制面板，可以通过TOR网络访问，如下所示：

近期Netwalker勒索病毒黑客组织正在从通过网络钓鱼传播勒索病毒的方式转移到采用针对大型企业进行网络入侵的传播方式，并且该黑客组织也更新了其RAAS的分发模式的候选人标准，通过这些严格的选择标准，寻找他们提供RAAS私有化服务制定的人员，如下所示：

在发布RAAS私有化计划一个月之后，即2020年4月19日，Netwalker勒索病毒黑客组织表明了其会员要求，声称只对有经验的说俄语的网络入侵者（而不是垃圾邮件制造者）感兴趣，而希望立即进行持续的工作，如下所示：

从其公布的消息，可以看出这勒索病毒黑客组织打算利用“强强联手”的模式，通过与一些网络入侵团伙进行合作，针对目标企业进行勒索病毒攻击，还会盗取这些企业的数据，同时Netwalker勒索病毒黑客组织也保证在支付赎金后会向受害者提供解密，该黑客组织赎金的百分比份额为20%到80%，其中Netwalker黑客组织只获取赎金的20%，会员可以获得80%，这种高收入的回报，可能导致会有更多的黑客组织与他们进行合作，相比GandCrab勒索病毒此前的百分比份额为30%到70%，有些甚至为40%到60%，为了证明自己，Netwalker勒索病毒黑客组织还发布了他们已经获取的赎金信息，从数十万美元到数百万美元不等

笔者此前捕获了一例通过EXE外壳程序加载这款勒索病毒核心代码的样本，通过分析会在内存中解密出该勒索病毒的核心代码，如下所示：

将解密出来的核心代码与此前通过PowerShell脚本反射注入的Netwalker核心代码进行对比分析，如下所示：

代码匹配度高达90%以上，该勒索病毒加密后的文件，如下所示：

勒索提示信息文件，如下所示：

可以看到勒索提示信息文件显示为Netwalker勒索病毒家族

Netwalker勒索病毒在过去的两个月的时间里非常活跃，而且其黑客组织不断在更新自己的运营模式和病毒样本，同时因为其高额的回报，未来可能会有更多的黑客组织与他们进行合作，对目标企业发起网络渗透攻击，再通过勒索病毒快速获利，同时这些网络攻击活动还会盗取企业的重要数据，后期还可以通过公布这些企业的数据来逼迫受害者交付赎金

从NEMTY和Netwalker这两款勒索病毒的RAAS服务私有化可以看出，未来勒索病毒的攻击会越来越具有针对性，这提高了勒索病毒攻击的门槛，主要针对特定的企业，政府，组织机构等进行网络攻击，然后再通过勒索病毒快速获取暴利，未来不仅仅是勒索病毒攻击会越来越有针对性，目标性，会有越来越多的网络安全攻击行为向定向化攻击活动发展，也就是大家俗称的APT攻击，这种定向的攻击活动，目标性强，攻击手法多种多样，企业防不甚防

勒索病毒已经被公认为全球最大的网络安全威胁之一，笔者一直在跟踪研究全球流行的勒索病毒黑客组织的攻击活动与发展趋势，深度分析了几十款全球最流行的勒索病毒家族及其变种，勒索病毒未来可能会成为全球网络安全战的重要武器，欢迎读者朋友给我提供勒索病毒的相关威胁情报信息，这些信息可以包含如下内容：

1.勒索病毒病毒样本

2.勒索病毒攻击案例

3.勒索病毒黑客组织信息

4.勒索病毒黑客钱包地址

5.勒索病毒提示信息文件

6.勒索病毒黑客服务器地址

7.勒索病毒地下黑客论坛地址

想了解更多勒索病毒相关信息，可以关注安全分析与研究，关注勒索病毒专题报告，获取勒索病毒的第一手资料，点击下面查看：

勒索病毒专题报告

同时如果你还有一些其他类型的恶意软件相关信息，例如窃密、远控、后门、僵尸网络、APT攻击样本或钓鱼邮件等，以及全球一些黑客组织攻击活动信息，也可以随时提供给我，多谢各位

参考链接：

https://www.advanced-intel.com/post/netwalker-ransomware-group-enters-advanced-targeting-game

https://www.bleepingcomputer.com/news/security/netwalker-adjusts-ransomware-operation-to-only-target-enterprise/

笔者花名：熊猫正正

笔者简介：熊猫正正，恶意软件研究员，长期专注于全球各种流行恶意软件的分析与研究，追踪全球流行黑客组织的攻击活动，擅长恶意软件逆向分析技术，具有丰富的样本分析实战经验，对勒索病毒、挖矿病毒、窃密远控木马、银行木马、僵尸网络、APT攻击类样本都有深入的分析与研究

心路历程：从一无所知的安全小白菜，到十几年安全经验的老白菜，尝尽人生冷暖，看透世间百态，唯一不变的也许是自己对安全的热爱与坚持！

安全的路很长，贵在坚持！

如果喜欢本篇内容请点在看，多谢支持