Netwalkerは、Windowsシステムを標的としたランサムウェアです。

2019年8月に初めて発見され、2019年の残りから2020年にかけて進化を遂げました。FBIは、Covid-19のパンデミックのピーク時にNetWalkerによる標的型攻撃が大幅に増加したことを指摘している。

欧米の主要な学校、医療システム、**機関を攻撃したランサムウェアについて知っておくべきことを紹介します。

サイバーランサムウェア（ネットウォーカーランサムウェア）は何ですか？

以前はMailtoとして知られていたNetwalkerは、すべての重要なファイル、アプリケーション、データベースを暗号化することでアクセス不能にする、高度なランサムウェアです。犯人はデータ復旧と引き換えに暗号通貨の支払いを要求し、身代金を支払わない場合は被害者の機密データを「リークポータル」に公開すると脅迫しました。

このグループは、大規模な組織を対象に、主にエントリーポイントに送られる電子メールフィッシングを利用して、ネットワークに侵入する高度な標的型キャンペーンを展開したことが知られています。

これまでのポイズンメールのサンプルは、コロナウイルスの流行を餌に、被害者に悪意のあるリンクをクリックさせたり、感染したファイルをダウンロードさせたりするものでした。コンピュータが感染すると、感染が拡大し、接続されているすべてのWindowsデバイスを危険にさらすようになります。

このランサムウェアは、スパムを介して拡散するだけでなく、一般的なパスワード管理アプリケーションを装って拡散することも可能です。ユーザーが偽バージョンのアプリケーションを実行すると、そのファイルは暗号化されます。

Dalma、Sodinoquibi、その他の悪質なランサムウェアの亜種と同様に、NetWalkerの運営者は、ランサムウェア・アズ・ア・サービス（RaaS）モデルを使用しています。

ランサムウェア・アズ・ア・サービス(Ransomware-as-a-service)は何ですか？

ランサムウェア・アズ・ア・サービスは、クラウド基盤上で集中管理されたソフトウェアを、サブスクリプション方式**やレンタル方式で顧客に貸し出す、一般的なSaaS（ソフトウェア・アズ・ア・サービス）のビジネスモデルから派生したサイバー犯罪の手口です。

しかし、ランサムウェアをサービスとして販売する場合、販売される素材は悪意のある攻撃を仕掛けることを目的としたマルウェアである。これらのランサムウェア開発者は、顧客の代わりに、ランサムウェアの拡散を促進することが期待される「アフィリエイト」を探しています。

関連記事：ランサムウェア・アズ・ア・サービスは、みんなに混乱をもたらす。

攻撃が成功した場合、身代金はランサムウェアの開発者と、構築済みのランサムウェアを配布する関連会社の間で分配されます。これらのアフィリエイトは、通常、身代金の約70～80％を受け取ります。犯罪集団にとって、これは比較的新しく、儲かるビジネスモデルである。

ネットウォーカーによるRAASモデルの利用方法

NetWalkerグループは、大規模ネットワークへの侵入経験を持つサイバー犯罪者にツールやインフラを提供するため、ダークウェブフォーラムで「アフィリエイト」を積極的に募集しています。マカフィーのレポートによると、このグループは、ロシア語を話すパートナーや、潜在的な被害者のネットワークにすでに確立されている人を探しています。

量より質を優先し、パートナー枠も限定している。定員になり次第、募集を終了し、枠が空き次第、再びフォーラムで募集を行います。

ネットウォーカーの身代金請求書はどのように進化したのでしょうか？

以前のバージョンのNetWalkerの身代金要求書には、他の多くの身代金要求書と同様に、匿名のメールアカウントサービスを使用する「お問い合わせ」セクションがありました。被害者はその団体に連絡し、支払いはその団体を通して行われる。

2020年3月から導入した高機能版は、電子メールを捨て、NetWalker-Torのインターフェースを使ったシステムに置き換えています。

ユーザーは、Torブラウザーをダウンロードしてインストールし、パーソナルコードを取得するよう求められます。オンラインフォームからキーを送信した後、被害者はチャットメッセンジャーにリダイレクトされ、NetWalkerの「テクニカルサポート」と話すことになります。

ネットワーカーへの報酬はどのようにしているのですか？

NetWalkerのシステムは、対象企業と非常によく似た形で構成されています。さらに、「支払い待ち」というアカウントの状態、決済金額、決済までの残り時間などを記載した詳細なシート**を発行してくれるのです。

被害者には1週間の支払い期限があり、それを過ぎると復号化の価格が2倍になったり、期限までに支払いが行われないと機密データが漏洩すると言われています。支払いが完了すると、被害者は復号化プログラムのダウンロードページに誘導されます。

復号化プログラムはユニークで、支払いを行った特定のユーザーのファイルのみを復号化するように設計されているようです。このため、各被害者は固有のキーを持っています。

サイバーハッキングによる著名な被害者

NetWalkerの背後にいる一団は、さまざまな教育機関、**、企業組織に対する一連の攻撃と関連しています。

有名なところでは、ミシガン州立大学（MSU）、コロンビア大学シカゴ校、カリフォルニア大学サンフランシスコ校（UCSF）などが被害に遭いました。後者は、暗号化されたデータを解除するためのツールと引き換えに、114万ドルの身代金を支払ったようです。

そのほかにも、オーストリアのヴィエツ市などで被害があった。この攻撃で、市内の公共サービスシステムが被害を受けた。また、建物の検査や申請データも一部流出した。

イリノイ州のシャンペーン・アーバナ公衆衛生局（CHUPD）、カナダのオンタリオ看護婦協会（CNO）、ドイツのデュッセルドルフ大学病院（UKD）などが標的にされたと報じられているのです。(デュッセルドルフ、UKD)に移管しました。

デュッセルドルフの救急隊が被災したため、別の病院への搬送を余儀なくされたとみられ、後者への攻撃で1名の死者が出ている。

ネットウォーカー攻撃からデータを守るには

リンクのクリックやファイルのダウンロードを促すメールやメッセージにご注意ください。すぐにリンクをクリックするのではなく、リンクにカーソルを合わせると、ブラウザの下部に表示されるURL全体を確認できます。電子メールのリンクは、それが本物であることを確認するまでクリックしないでください。

また、偽物のアプリケーションをダウンロードしないようにする必要があります。

信頼性の高いアンチウイルスおよびアンチマルウェアソフトウェアをインストールし、定期的に更新するようにしてください。これらのサイトは、電子メールに含まれるフィッシング・リンクを見分けることができる場合が多い。ソフトウェアのパッチは、サイバー犯罪者に悪用されやすい脆弱性を修正するために設計されているので、すぐにインストールしましょう。

また、ネットワークへのアクセスポイントを強力なパスワードで保護し、多要素認証（MFA）を使用して、ネットワーク、他のコンピュータ、組織内のサービスへのアクセスを保護する必要があります。また、定期的にバックアップを取るのもよいでしょう。

ネットウォーカーの心配をする必要があるのか？

まだ個人のエンドユーザーを対象としていませんが、NetWalkerはあなたを入り口にして、フィッシングメールや悪意のあるファイル、感染した偽のアプリケーションを介して、組織のネットワークに侵入することができます。

ランサムウェアは怖いものですが、合理的な予防策を講じることで警戒することができますし