Lo scorso autunno era passata quasi inosservata la storia del ransomware che ha colpito gli archivi del colosso dell’energia Enel, sebbene fossero già stati bersaglio di un attacco informatico, solo pochi mesi, prima attraverso il ransomware Snake, che aveva tentato di crittografare gli archivi elettronici con algoritmi AES-256 e RSA-2048, comportando disservizi agli utenti.
Gli hacker appartenenti a Netwalker, entrati invece in gioco ad ottobre, avrebbero rubato 5 terabyte di dati, chiedendo 1234 bitcoin, pari a circa 14 milioni di dollari, quale riscatto per ricevere le chiavi per decrittare i file compromessi.
Il malware di NetWalker, come ricostruito da Ionut Ilascu su Bleeping Computer, utilizza il file di configurazione per crittografare tutti i dati presenti nella macchina, sia essa un’unità fissa o virtuale. Generalmente ottengono l’accesso non autorizzato alla rete di computer della vittima giorni o settimane prima, e in questo periodo elevano furtivamente i propri privilegi all’interno della rete, mediante l’utilizzo di un token e, create le rispettive unità logiche, diffondono il ransomware inviando la richiesta di riscatto solo una volta che sono sufficientemente addentrati nella rete della vittima.
Il ransomware NetWalker ha colpito negli ultimi due anni numerose vittime, tra cui aziende, comuni, ospedali, forze dell’ordine, servizi di emergenza, distretti scolastici, college e università. Gli attacchi non sono diminuiti durante la pandemia COVID-19 quando, approfittando della crisi globale, hanno preso di mira il settore sanitario, guadagnando 46 milioni di dollari attraverso i riscatti.
Il 27 gennaio 2021 il Dipartimento di Giustizia Statunitense, insieme con il National Investigation Service bulgaro e la direzione generale per la lotta alla criminalità organizzata, sono riusciti ad arrestare un cittadino canadese, Sebastien Vachon-Desjardins di Gatineau, accusato di essere il proprietario del malware, per mezzo del quale si sarebbe arricchito per oltre 27 milioni di dollari. Hanno poi disabilitato la risorsa presente sul dark web utilizzata per comunicare, mediante l’applicativo Tor, con le vittime senza essere rintracciati, ed hanno confiscato 500mila dollari in criptovalute.
L’ufficio del procuratore degli Stati Uniti per il distretto centrale della Florida ha comunicato che, dopo aver ricostruito il sistema NetWalker, improntato ad un modello “ransomware-as-a-service” – operante per mezzo di “sviluppatori”, responsabili della creazione e dell’aggiornamento del ransomware e di “affiliati”, che si occupavano materialmente dell’attacco alle vittime – stanno cercando di recuperare tutti i pagamenti, proventi dei riscatti estorti alle società, vittime del ransomware.
La procuratrice Maria Chapa ha concluso dicendo che “sebbene queste persone credano di operare in maniera anonima nello spazio digitale, noi abbiamo l’abilità e la tenacia per identificare e perseguire questi attori nella misura massima consentita dalla legge e sequestrare i loro proventi criminali”.
