NetWalker: il secondo ransomware del 2020 per Enel Group

30 Ottobre 2020 Silvia Sanna

NetWalker è il nome del ransomware che ha colpito per la seconda volta nel 2020 il gruppo Enel Group, la società italiana gestore di energia elettrica in Italia e altri 30 paesi. Non si tratta del primo attacco nel mondo dell’energia elettrica, ricordiamo infatti il pericoloso attacco Stuxnet nel 2008 alla centrale nucleare iraniana.

Il primo attacco a Enel Group è avvenuto nel mese di giugno utilizzando Snake. Si tratta di un ransomware noto per gli attacchi a grandi aziende con l’obiettivo di rubare e crittografare i dati con algoritmi AES-256 e RSA-2048. L’attacco di ottobre invece è avvenuto utilizzando NetWalker. Quest’ultimo è noto da agosto 2019 col nome Mailto e l’obiettivo è attaccare grandi aziende. Secondo quanto dichiarato a BleepingComputer, il ransomware non attaccherà gli ospedali, specialmente in questo periodo di pandemia da Covid-19.

ransomware NetWalker Enel Group
Screenshot dati rubati a Enel Group dal ransomware NetWalker. Credits: Twitter TG Soft

Il ransomware aggiunge un’estensione casuale ai file infetti crittografandoli con l’algoritmo Salsa20. NetWalker utilizza inoltre diverse tecniche anti-evasione e una DLL injection nella memoria. I creatori di NetWalker cercano persone che parlino russo e abbiano esperienza con reti di grande dimensione e usarle come punto d’ingresso per attaccare un’azienda.

Nel profondo di NetWalker

Nella vita di NetWalker possono distinguersi due fasi ben distinte:

  • prima di marzo 2020: in tutti gli attacchi la richiesta di riscatto indicava di contattare il team usando e-mail anonime con nomi casuali.
  • dopo marzo 2020: in particolare a partire dal 12 marzo 2020 le richieste di riscatto NetWalker avvengono usando l’interfaccia NetWalker Tor.
ransomware NetWalker Enel Group
Mappa mondiale dei paesi infettati dal ransomware NetWalker – Credits: mcafee.com

Dal 12 marzo 2020, il malware crea un file contenente tutte le funzioni di cui ha bisogno, combinandole con i moduli creati con un attacco DLL. In questa nuova versione è stata potenziata anche la tecnica difensiva, in modo da rendere più difficile l’analisi da parte di un antivirus. Questo file di configurazione contiene:

  • 4 byte contenenti la chiave per decrittografare;
  • una dimensione variabile contenente la chiave di codifica fissa per decrittografare il file di configurazione;
  • un’altra dimensione variabile contenente il file crittografato. Se il malware non riesce a ottenere il file di configurazione, verrà terminato da solo.

Il malware utilizza il file di configurazione per crittografare tutti i file presenti nella macchina, sia unità di tipo fisso che remote, non prima di aver ottenuto i privilegi con l’utilizzo di un token e creato le rispettive unità logiche. Successivamente, il malware crea tre thread: uno per ottenere informazioni sulla macchina, uno sui processi e l’ultimo sui servizi del sistema.

Alla fine di questi processi nel desktop si trova il file con la richiesta di riscatto, con una copia nella cartella principale di ogni unità logica. Dopo ciò il malware crea nella cartella temporanea della macchina un file per l’autodistruzione. Nonostante l’eliminazione potrà essere recuperato con tecniche forensi avanzate. L’utente a questo punto riceve la richiesta di riscatto e contatta il team di supporto tramite il portale NetWalker Tor. Solo dopo aver pagato il riscatto, l’utente può scaricare il decryptor e ripulire la propria macchina.

NetWalker e l’attacco a Enel Group

Per più di un anno il ransomware NetWalker ha colpito diverse aziende mondiali, fino ad avere un capitale di diversi milioni di dollari. A ottobre 2020 il ransomware Netwalker ha colpito la nota azienda elettrica italiana Enel Group. La società italiana TG Soft esperta di antimalware dal 1992 ha rivelato tramite un tweet pubblico l’attacco avvenuto a Enel Group. Attualmente la richiesta di riscatto per Enel Group è di 14 milioni di dollari con 5 TB di dati criptati.

A differenza dell’attacco di giugno, stavolta Enel Group è in serio pericolo tant’è che gli attaccanti hanno dichiarato di pubblicare dati sensibili se il riscatto non venisse pagato a breve. Nell’attacco di Snake di giugno infatti, questo era stato rilevato prima che venisse chiesto il riscatto e criptati i dati e soprattutto prima che potesse infettare tutte le macchine.

ransomware NetWalker Enel Group
Nota di riscatto NetWalker per Enel Group. Credits: BleepingComputer

Ciò che attualmente risulta poco chiaro è la strategia difensiva del gruppo Enel Group. NetWalker ha infatti minacciato di pubblicare dati riguardanti dipendenti e clienti nel caso in cui il riscatto non dovesse arrivare in tempo e alzare anche il prezzo di questo. Nel sito web di Enel Group infatti non risultano attualmente comunicati o note al riguardo.

Tags: ,