Ramsomware NetWalker en picada contra ciudad austriaca

Un grupo de ciberdelincuentes lanzó un ataque de ransomware contra la aldea austríaca de Weiz. La agresión afectó al sistema de servicio público y filtró algunos datos de las aplicaciones e inspecciones del edificio alcaldicio.

Según la empresa de seguridad cibernética Panda Security, los
ciberdelincuentes lograron penetrar en la red pública a través de correos electrónicos de phishing relacionados con la crisis del COVID-19.

Los ciberdelincuentes anunciaron sobre el ciberataque a través de Twitter. Hasta publicaron un extracto de los datos capturados. Cabe destacar que el pequeño pueblo de Weiz es considerado el centro económico de la región de Oststeiermark y se encuentra a pocos kilómetros de la ciudad de Graz. Varias grandes empresas, como el proveedor de automóviles Magna y las constructoras Strobl Construction y LIEB-Bau-Weiz, tienen plantas de producción en dicha ciudad.

COVID-19 como engaño

El asunto en los correos electrónicos —” información sobre el coronavirus”— se utilizó para hacer que los empleados de la infraestructura pública de Weiz hicieran clic en los enlaces maliciosos,
provocando así el despliegue del ransomware.

El código malicioso parecer ser una versión relativamente nueva dentro de la familia NetWalker, pues se trata de una evolución del ransomware NetWalker detectado por primera vez en agosto de 2019, pero ahora no sólo centra sus ataques en usuarios domésticos sino también en corporaciones e instituciones.

El ransomware se propaga a través de correos electrónicos de phishing usando VBScript y, si la infección es exitosa, se irradia por toda la red de Windows a la que está conectada la máquina infectada. El código termina con los servicios y procesos en Windows y cifra los archivos en todos
los discos accesibles, además elimina todas las copias de seguridad existentes.

Screenshot publicado por los ciberdelincuentes del directorio capturado

Se sospecha que el ransomware NetWalker también es responsable de los ataques contra un organismo sanitario en Illinois, EE. UU. y una empresa de transporte australiana.

Además, efectuó una serie de ataques contra el sector de la salud en todo el mundo. El 25 de marzo se informó sobre una campaña a hospitales en España. Los ataques, también fueron causados por correos electrónicos de phishing los cuales implementaron ransomware en sistemas
específicos.