NetWalker: Ransomware-Gang erlöst seit März rund 25 Millionen Dollar

Erpressersoftware ist weiterhin ein sehr lukratives Geschäftsmodell für Cyberkriminelle. Laut einer Untersuchung von McAfee haben die Hintermänner der NetWalker-Ransomware allein seit März Lösegelder in Höhe von mehr als 25 Millionen Dollar erpresst.

Dem Sicherheitsanbieter ist es im Rahmen einer Untersuchung zu NetWalker gelungen, Zahlungen von Opfern an bekannte Bitcoin-Adressen der Cyber-Erpresser zu verfolgen. Allerdings ist nicht ausgeschlossen, dass nicht alle Zahlungen erfasst wurden. Sicherheitsexperten gehen davon aus, dass die Hintermänner eine noch größere Summe erbeutet haben.

Erstmals tauchte NetWalker im August 2019 auf, damals noch unter dem Namen Mailto, der dann ab Ende 2019 in NetWalker geändert wurde. Betrieben wird Malware als Ransomware-as-a-Service (RaaS). Hacker können nach einer Registrierung für einen Zugang einem Portal bieten, um eigene Versionen der NetWalker-Ransomware zu entwickeln. Für die Verbreitung sie die Bieter anschließend jedoch selbst verantwortlich.

Der Untersuchung zufolge wurden mit dem Bieterverfahren zuletzt Hacker ausgewählt, die sich auf zielgerichtete Angriffe auf besonders zahlungskräftige Unternehmen spezialisiert haben – statt die Erpressersoftware massenhaft zu verteilen. Die neue Taktik erlaubt es, deutlich höhere Lösegeldforderungen zu stellen, weil großen Unternehmen durch einen Befall mit einer Ransomware in der Regel auch ein deutlich höherer Schaden entsteht.

Als Einfallstor für die zielgerichteten Attacken dienen NetWalker laut einer aktuellen Warnung des FBI derzeit Exploits für Pulse Secure VPN-Server und Webanwendungen, die die Telerik-UI-Komponente verwenden. Betroffen sind demnach derzeit nicht nur Unternehmen, sondern auch Behörden.

McAfee weist darauf hin, dass NetWalker nicht nur in den USA, sondern auch in Europa und anderen Teilen der Welt aktiv ist. Eine zunehmende Verbreitung der Malware belegt auch der Dienst ID-Ransomware.

Neben dem RaaS-Portal für NetWalker betreiben die Cyberkriminellen auch ein Portal, auf dem Nutzer der Erpressersoftware gestohlene Daten als zusätzliches Druckmittel veröffentlichen können. Das Portal erlaubt es, eine Datenveröffentlichung zuerst anzukündigen und per Timer die gestohlenen zu einem späteren Zeitpunkt automatisch freizugeben.

[highlightb