NetWalker è il nome del ransomware che ha colpito per la seconda volta nel 2020 il gruppo Enel Group, la società italiana gestore di energia elettrica in Italia e altri 30 paesi. Non si tratta del primo attacco nel mondo dell’energia elettrica, ricordiamo infatti il pericoloso attacco Stuxnet nel 2008 alla centrale nucleare iraniana.
Il primo attacco a Enel Group è avvenuto nel mese di giugno utilizzando Snake. Si tratta di un ransomware noto per gli attacchi a grandi aziende con l’obiettivo di rubare e crittografare i dati con algoritmi AES-256 e RSA-2048. L’attacco di ottobre invece è avvenuto utilizzando NetWalker. Quest’ultimo è noto da agosto 2019 col nome Mailto e l’obiettivo è attaccare grandi aziende. Secondo quanto dichiarato a BleepingComputer, il ransomware non attaccherà gli ospedali, specialmente in questo periodo di pandemia da Covid-19.
Il ransomware aggiunge un’estensione casuale ai file infetti crittografandoli con l’algoritmo Salsa20. NetWalker utilizza inoltre diverse tecniche anti-evasione e una DLL injection nella memoria. I creatori di NetWalker cercano persone che parlino russo e abbiano esperienza con reti di grande dimensione e usarle come punto d’ingresso per attaccare un’azienda.
Nella vita di NetWalker possono distinguersi due fasi ben distinte:
Dal 12 marzo 2020, il malware crea un file contenente tutte le funzioni di cui ha bisogno, combinandole con i moduli creati con un attacco DLL. In questa nuova versione è stata potenziata anche la tecnica difensiva, in modo da rendere più difficile l’analisi da parte di un antivirus. Questo file di configurazione contiene:
Il malware utilizza il file di configurazione per crittografare tutti i file presenti nella macchina, sia unità di tipo fisso che remote, non prima di aver ottenuto i privilegi con l’utilizzo di un token e creato le rispettive unità logiche. Successivamente, il malware crea tre thread: uno per ottenere informazioni sulla macchina, uno sui processi e l’ultimo sui servizi del sistema.
Alla fine di questi processi nel desktop si trova il file con la richiesta di riscatto, con una copia nella cartella principale di ogni unità logica. Dopo ciò il malware crea nella cartella temporanea della macchina un file per l’autodistruzione. Nonostante l’eliminazione potrà essere recuperato con tecniche forensi avanzate. L’utente a questo punto riceve la richiesta di riscatto e contatta il team di supporto tramite il portale NetWalker Tor. Solo dopo aver pagato il riscatto, l’utente può scaricare il decryptor e ripulire la propria macchina.
Per più di un anno il ransomware NetWalker ha colpito diverse aziende mondiali, fino ad avere un capitale di diversi milioni di dollari. A ottobre 2020 il ransomware Netwalker ha colpito la nota azienda elettrica italiana Enel Group. La società italiana TG Soft esperta di antimalware dal 1992 ha rivelato tramite un tweet pubblico l’attacco avvenuto a Enel Group. Attualmente la richiesta di riscatto per Enel Group è di 14 milioni di dollari con 5 TB di dati criptati.
A differenza dell’attacco di giugno, stavolta Enel Group è in serio pericolo tant’è che gli attaccanti hanno dichiarato di pubblicare dati sensibili se il riscatto non venisse pagato a breve. Nell’attacco di Snake di giugno infatti, questo era stato rilevato prima che venisse chiesto il riscatto e criptati i dati e soprattutto prima che potesse infettare tutte le macchine.
Ciò che attualmente risulta poco chiaro è la strategia difensiva del gruppo Enel Group. NetWalker ha infatti minacciato di pubblicare dati riguardanti dipendenti e clienti nel caso in cui il riscatto non dovesse arrivare in tempo e alzare anche il prezzo di questo. Nel sito web di Enel Group infatti non risultano attualmente comunicati o note al riguardo.