Le Federal Bureau of Investigation a publié cette semaine une alerte pour avertir les entreprises des cyberattaques en cours impliquant le ransomware NetWalker.

NetWalker, également connu sous le nom de Mailto, est devenu une menace largement connue à la suite d’une série d’attaques très médiatisées en mars 2020, telles que celles visant une entreprise de transport et de logistique en Australie et une organisation de santé publique aux États-Unis.

En juin, l’Université de Californie à San Francisco (UCSF) a révélé qu’elle avait payé plus d’un million de dollars pour se remettre d’une attaque de ransomware. Bien qu’il n’ait pas indiqué quelle famille de logiciels malveillants a été utilisée dans l’incident, le ransomware NetWalker était censé être responsable de l’attaque.

«Depuis juin 2020, le FBI a reçu des notifications d’attaques de ransomware NetWalker contre des organisations gouvernementales américaines et étrangères, des entités éducatives, des entreprises privées et des agences de santé par des cyberacteurs non identifiés», indique l’alerte du FBI.

Depuis le mois de mars, selon le FBI, les opérateurs de NetWalker ont exploité les thèmes liés au COVID-19 dans les e-mails de phishing distribuant le ransomware. Le mois suivant, ils ont commencé à cibler les vulnérabilités connues des appliances VPN et des applications Web, ainsi que des connexions Remote Desktop Protocol, via des attaques par force brute.

La menace a été observée ciblant des vulnérabilités affectant Pulse Secure VPN (CVE-2019-11510) et Progress Telerik UI (CVE-2019-18935), ainsi que d’autres bogues de sécurité. Divers outils sont utilisés après la compromission, pour voler les informations d’identification et les données et pour crypter les fichiers utilisateur.

«Suite à une intrusion réussie, NetWalker crypte tous les périphériques et données Windows connectés, rendant les fichiers, bases de données et applications critiques inaccessibles aux utilisateurs. Lorsqu’il est exécuté, Netwalker déploie une configuration intégrée qui comprend une note de rançon, des noms de fichier de note de rançon et diverses options de configuration », explique le FBI.

L’acteur menaçant avait l’habitude de télécharger le …