« Les attaques du ransomware NetWalker reposent sur des emails de phishing, exploitant des vulnérabilités dans Apache Tomcat et Oracle WebLogic, ainsi que sur des informations d’identification dans le protocole Remote Desktop (RDP) faibles pour obtenir un accès initial à un réseau. À partir de là, les cybercriminels utilisent divers outils pour se déplacer au sein d’une organisation et exploitent d’autres vulnérabilités pour élever les privilèges, notamment CVE-2020-07906, une vulnérabilité critique dans Server Message Block v3 (SMBv3) et CVE-2019- 1458, une vulnérabilité d’élévation locale de privilèges très critique dans Microsoft Windows Win32k.sys.

D’après ce que nous savons, le groupe de ransomwares Netwalker a eu beaucoup de succès en 2020 et aurait gagné 25 millions de dollars de rançon depuis mars. Leur réussite suit les traces d’autres groupes de ransomwares, comme Maze, qui a été le pionnier du concept de "site de fuite " ou "portail de fuite" sur lesquels ils nomment leurs victimes et leur font honte en menaçant de divulguer des données sensibles qu’ils ont exfiltrées si la rançon n’est pas payée.

Il est important que les entreprises disposent d’un solide processus de gestion des correctifs pour s’assurer qu’elles répondent aux vulnérabilités non corrigées, ces dernières se révélant être un outil précieux pour les cybercriminels. Les emails de spear phishing ou malveillants avec des pièces jointes sont des moyens de propagation des ransomwares. Par conséquent, le fait de garantir la mise à jour de la sécurité de la passerelle de messagerie et des terminaux, combiné à la formation et la sensibilisation des employés à la sécurité, pourrait potentiellement contrecarrer la prochaine attaque de ransomware. »