安全公司McAfee今天表示，NetWalker勒索軟件的運營者據信自今年3月以來已經從勒索金支付中賺取了超過2500萬美元。雖然沒有精確的最新統計數據，但2500萬美元的數字使NetWalker在目前已知最成功的勒索軟件團伙中排名靠前，其他已知的名字包括Ryuk、Dharma和REvil（Sodinokibi）。

McAfee最近發布了一份關於NetWalker行動的綜合報告，它能夠追踪受害者向該勒索軟件團伙比特幣地址支付的款項。然而，安全專家認為，由於他們的觀點並不完整，該團伙可能從他們的非法行動中獲得更多的利益。NetWalker作為一個勒索軟件，最早出現在2019年8月。在最初的版本中，該勒索軟件的名稱為Mailto，但在2019年年底重新命名為NetWalker。

該勒索軟件以封閉訪問的RaaS–勒索軟件即服務門戶的形式運行。其他黑客團伙註冊並通過審查，之後他們被授予訪問一個門戶網站的權限，在那裡他們可以構建定製版本的勒索軟件。分發工作由這些二線幫派（即所謂的附屬機構）負責，每個幫派都會根據自己的情況進行部署。通過這一審查過程，NetWalker最近開始選擇專門針對高價值實體網絡進行定向攻擊的關聯公司，而不是那些專門採用大規模傳播方法的關聯公司，如利用工具包或電子郵件垃圾郵件。原因是，以大公司為目標進行精準和外科手術式的入侵，可以讓該團伙提出更大的贖金要求，因為與小公司相比，大公司在倒閉時損失的利潤更多。

NetWalker的作者似乎更青睞於能夠通過網絡攻擊，對RDP服務器、網絡設備、VPN服務器、防火牆等執行入侵的關聯公司。值得注意的是，NetWalker的作者化名為Bugatti，只對僱傭說俄語的二級幫派感興趣。McAfee專家表示，從歷史上看，NetWalker通過利用Oracle WebLogic和Apache Tomcat服務器中的漏洞，通過RDP端點以薄弱的憑證進入網絡，或者通過對重要公司的工作人員進行魚叉式釣魚來進行入侵。

但根據FBI上週發布的警報，最近，該團伙還加入了針對Pulse Secure VPN服務器的漏洞(CVE-201911510)和針對使用Telerik UI組件網絡應用的漏洞(CVE-2019-18935)，使他們的武器庫多樣化。同一警報還警告美國公司和政府組織一定要更新系統，因為該局看到NetWalker團伙的活動有所增加，甚至衝擊了一些政府網絡。

而該團伙如此受歡迎的原因之一，也是因為它的”洩密門戶”，該團伙在網站上公佈拒絕支付其贖金要求的受害者的姓名，並且發布數據。一旦NetWalker聯盟入侵網絡，他們首先會竊取公司的敏感數據，然後對文件進行加密。如果受害者在最初的談判中拒絕支付解密文件的費用，勒索軟件團伙就會在他們的洩密網站上創建一個條目。該條目有一個計時器，如果受害者仍然拒絕支付，該團伙就會洩公佈他們從受害者網絡中竊取的文件。