据外媒最新报道,美国司法部昨日宣布,执法人员将介入Netwalker勒索软件活动,强制Netwalker勒索软件下线。此外,美国执法部门将起诉一名加拿大公民涉嫌参与Netwalker勒索软件攻击中的文件加密勒索软件攻击。与此同时,欧洲刑警组织也采取了行动。据了解,欧洲执法机构(Europol)已开始向感染Emotet勒索软件的设备分发Emotet模块,并计划在2021年3月25日帮助所有受感染设备彻底清除Emotet恶意软件。美国执法机构将采取行动禁止Netwalker勒索软件就在昨天,美国执法机构正式宣布将禁止Netwalker勒索软件活动,并计划强行停止勒索软件活动。同时,美国执法机构将起诉一名加拿大公民涉嫌参与Netwalker勒索软件文件加密勒索软件攻击。就在2021年1月27日,BleepingComputer报道称,美国和保加利亚的执法机构在暗网中“查封”了Netwalker网站。据了解,该网站专门用于泄露尚未支付勒索软件赎金的目标用户数据,网络犯罪分子也会利用该网站与受感染用户协商数据解密所需的赎金费用。在刚刚发布的新闻稿中,美国司法部证实了与保加利亚国家调查局和打击有组织犯罪总局的合作,该合作在打击网络犯罪方面取得了巨大成功。NetWalker勒索病毒出现于2019年,与其他流行的勒索病毒类似,该软件的运行也针对全球。正如我们在Maze、Ragnar、REvil和其他公司中看到的那样,操作员使用数据威胁作为杠杆来迫使目标合规。迄今为止,已公开发布了12名不同NetWalker受害者的被盗数据。Netwalker活动背后的攻击者使用通用实用程序、后开发工具包和离地生活、LOTL策略来探索受感染的环境并摄取尽可能多的数据。这些工具可以包括mimikatz(及其变体)、各种PSTools、AnyDesk、TeamViewer、NLBrute等。Netwalker背后的网络罪犯已被起诉。Netwalker勒索软件活动始于2019年底。虽然时间不长,但Netwalker已给各组织、机构和公司造成了数千万美元的经济损失。2020年8月发布的一份报告指出,Netwalker背后的网络犯罪分子在短短五个月内从勒索软件攻击中非法获利2500万美元。美国司法部表示,除了查封暗网网站外,他们还将起诉一名来自加拿大加蒂诺的加拿大公民,名叫SebastianVashaunDesjardinSebastienVachonDesjardins,美国司法部将起诉他涉嫌参与与Netwalker勒索软件活动相关的网络黑客勒索软件攻击。据了解,塞巴斯蒂安·瓦尚·德贾丁斯(SebastienVachonDesjardins)在勒索软件攻击中非法获利共计约2760万美元。据执法人员调查取证,其至少在2020年4月开始参与此次勒索病毒攻击,说明其只是Netwalker背后的网络犯罪分子之一,不应该是Netwalker勒索软件开发人员.根据美国执法部门对他的起诉书内容,塞巴斯蒂安·瓦尚·德贾丁斯(SebastienVachonDesjardins)是来自加拿大加蒂诺的加拿大公民。他已在美国佛罗里达州中部地区受到指控。大多数勒索软件开发者在勒索软件开发完成后,都会招募一些像塞巴斯蒂安·瓦尚·德贾丁斯(SebastienVachonDesjardins)这样的“中间人”。“它可以帮助勒索软件攻击者找到更多、更有价值的目标用户,从而对这些目标用户实施勒索攻击,并在他们的计算机系统上部署Netwalker勒索软件。目标用户支付数据赎金后,Netwalker勒索软件背后的攻击者就会分发有“中间人”的好处,即分钱,“中间人”拿大头。2021年1月10日,美国执法部门从三名不同的Netwalker勒索软件受害者手中没收了价值约450,000美元的加密货币。也就是说,这些加密货币就是三名受害者支付的数据赎金。Netwalker勒索软件不仅对Equinix、EnelGroup、阿根廷移民局、加州大学旧金山分校(UCSF)和K-Electric等一些知名企业、组织和机构的计算机系统进行了攻击和加密,还对市政当局进行了攻击、医院、执法机构、紧急服务、学院和大学等。毋庸置疑,此次执法行动并不意味着Netwalker勒索病毒彻底消失,但那一天肯定很快就会到来。不过美国执法部门这次只抓住了他们的一个“中间人”,而Netwalker背后的网络犯罪分子肯定还招募了很多其他的“中间人”,因为这项非法生意确实让他们在短时间内赚了很多钱。欧洲刑警组织也不甘示弱,已开始研究Emotet恶意软件!与此同时,欧洲刑警组织也采取了行动。据了解,欧洲执法机构(Europol)已经开始向感染Emotet勒索软件的设备分发Emotet模块,并计划在2021年3月25日帮助所有受感染设备彻底清除Emotet恶意软件。Emotet僵尸网络于2014年首次被发现主要使用自动化流程通过受感染的Word文档电子邮件附件传播恶意软件。Emotet基础设施实际上是入侵全球计算机网络的主要后门。僵尸网络依赖于全球“数百台”服务器来执行不同的任务。恶意软件本身经常通过在每次运行时修改其代码来逃避防病毒软件。检测。到目前为止,Emotet对网络攻击的抵抗力很强。就在昨天,欧洲刑警组织正式宣布将对臭名昭著的Emotet垃圾邮件僵尸网络采取行动,该僵尸网络的主要功能是分发恶意垃圾邮件Word附件,用于安装TrickBot和Qbot等恶意软件。据安全研究专家介绍,此类攻击通常会对受感染公司的网络系统进行全面的网络入侵,并感染Ryuk、Conti、ProLock或Egregor等网络系统内的计算机设备。Ryuk和Conti主要通过TrickBot部署,而ProLock和Egregor则通过Qbot部署。Emotet将于2021年3月25日自动卸载。Emotet在感染目标用户的电脑设备后,会向被感染设备分发不同的模块,执行不同的恶意活动。据一位名叫Milkream的安全研究人员称,当局已经开始向受感染的设备推送一个新模块。该模块将于2021年3月25日12:00从受感染设备中卸载Emotet恶意软件。据Milkream称,Emotet目前使用以下IP地址作为其命令和控制服务器,所有这些地址均位于德国:80.158.3[.]161:44380.158.51[.]209:808080.158。35[.]51:8080.158.63[.]78:44380.158.53[.]167:8080.158.62[.]194:44380.158.59[.]174:808080.158.43[.]136:80在接受欧洲刑警组织新闻办公室的电话采访时,BleepingComputer被告知德国联邦警察局(BKA)将负责针对Emotet的行动。然而,欧洲刑警组织的新闻办公室并不知道执法部门计划卸载Emotet恶意软件的确切日期和时间。我们也不知道为什么执法部门要等两个月才能卸载恶意软件,因此BleepingComputer也在与德国联邦警察局(BKA)联系,询问有关该活动的更多信息。随着执法部门接管Emotet僵尸网络,他们目前正在分发一个新的功能模块,并将在今年3月卸载Emotet恶意软件,这意味着Emotet很可能退出历史舞台。但在此之前,去年10月,美国政府和微软打击了TrickBot的恶意活动。当然,所有人都希望这次打击能够产生长期影响,但好景不长,TrickBot很快就恢复了运营。总结不管怎样,这种多国政府机构之间的合作对于杜宇安全研究人员和安全社区来说都是非常令人兴奋的。而且,这种跨界、跨机构的合作,也让大家对网络安全的未来更加充满希望。这无疑是一件利大于弊的事情。本文翻译自BLEEPINGCOMPUTER,原文链接。
