# Netwalker > Tipo: **malware (ransomware)** - RaaS / Fileless - S0457 - [MITRE ATT&CK](https://attack.mitre.org/software/S0457) > [!danger] Ransomware 100% Fileless - Sem Artefatos em Disco > O Netwalker e um dos poucos ransomwares que opera inteiramente em memoria: o payload e armazenado como blob cifrado no Resource 31337 de um executavel VBScript ou PowerShell, descriptografado em runtime e injetado diretamente no processo `explorer.exe` via reflective DLL injection. Nenhum executavel de ransomware toca o disco - o que torna análise forense tradicional e recuperacao de evidências extremamente complexos. O DOJ dos EUA desmantelou a infraestrutura e apreendeu USD 454.530 em Bitcoin de um afiliado canadense em janeiro de 2021. ## Visão Geral [[s0457-netwalker|Netwalker]] (inicialmente chamado Mailto) e um ransomware fileless desenvolvido por um grupo identificado pelo FBI como CIRCUS SPIDER, ativo desde agosto de 2019. O que distingue o Netwalker técnicamente de outros ransomwares e sua arquitetura completamente sem arquivo: o payload do ransomware e armazenado cifrado dentro de um script VBScript ou PowerShell como recurso embutido (Resource 31337). Quando executado, o script usa RC4 para decifrar o payload em memoria, sem nunca escrever o executavel em disco, e usa técnica de Process Hollowing ou injecao PE para executar o código dentro do processo legitimo `explorer.exe`. O Netwalker operou como RaaS a partir de maio de 2020, quando o grupo públicou anuncio de recrutamento de afiliados em forums underground, específicamente buscando profissionais com acesso a redes corporativas e sem interesse em afiliados novatos. O grupo se destacou por ataques durante a pandemia COVID-19: atacou universidades que estavam processando dados de pesquisa de vacinas, hospitais sobrescarregados, e orgaos governamentais de saúde pública no pico da pandemia em 2020. Um ataque notavel foi contra a Universidade da California em San Francisco (UCSF) em junho de 2020, que resultou em pagamento de USD 1.14 milhões - a UCSF estava conduzindo pesquisa sobre COVID-19 no momento do ataque. Para acesso inicial, o grupo explorava ativamente vulnerabilidades em servicos expostos: [[cve-2019-11510|CVE-2019-11510]] (Pulse Secure VPN - file read sem autenticação) e [[cve-2019-18935|CVE-2019-18935]] (Telerik UI for ASP.NET AJAX - RCE). Afiliados com acesso a redes comprometidas também vendiam esse acesso para o grupo. O FBI e DOJ dos EUA tomaram acoes coordenadas em janeiro de 2021: confiscaram USD 454.530 de um afiliado canadense, apreenderam servidores de infraestrutura, e o site de vazamentos .onion foi colocado offline - práticamente encerrando as operações do grupo. **Plataformas:** Windows ## Como Funciona O Netwalker tem dois vetores de acesso primarios dependendo da campanha: (1) phishing com VBScript em arquivos ZIP usando tema COVID-19, e (2) exploração de vulnerabilidades em servicos de VPN e aplicações web expostas (Pulse VPN CVE-2019-11510, Telerik UI CVE-2019-18935). **Arquitetura fileless - como funciona:** 1. Victima executa `kpot.vbs` (ou similar) - VBScript aparentemente inofensivo 2. VBScript le o Resource 31337 do proprio arquivo - contendo payload Netwalker cifrado com RC4 3. Chave RC4 e derivada de configuração embutida no script (específica por campanha/afiliado) 4. Payload e descriptografado em memoria como shellcode 5. Shellcode usa `VirtualAlloc` + reflective DLL injection para injetar no `explorer.exe` 6. O Netwalker executa dentro do contexto do `explorer.exe` - processo legitimo e confiavel 7. Nenhum arquivo de ransomware e criado em disco durante todo o processo **Pos-comprometimento:** - Desativacao de Windows Defender via PowerShell: `Set-MpPreference -DisableRealtimeMonitoring $true` - Exclusao de shadow copies via `vssadmin` e `wmic shadowcopy delete` - Parada de servicos de backup e banco de dados via WMI - Cifragem de arquivos locais e compartilhamentos de rede mapeados - Configuração de cifragem via bloco de configuração embutido no payload (specifica extensoes a pular, caminhos a ignorar) **Criptografia:** Combinacao de ChaCha com chaves de curva eliptica (Curve25519/ECDH) - cada arquivo recebe uma chave única gerada com CSPRNG. A chave e protegida pela chave pública do afiliado (ECDH) - apenas o afiliado pode descriptografar, com dependência adicional da chave privada do grupo CIRCUS SPIDER. Arquivos cifrados recebem extensao alfanumerica aleatoria de 6-8 caracteres. ## Attack Flow ```mermaid graph TB A["📧 COVID-19 Phishing VBScript<br/>kpot.vbs em ZIP<br/>CVE-2019-11510 Pulse VPN"] --> B["💉 Payload Fileless<br/>Resource 31337 decifrado RC4<br/>Injecao em explorer.exe"] B --> C["🔍 Reconhecimento<br/>WMI - systeminfo<br/>T1082 System Information"] C --> D["🛡 Desativacao de Defesas<br/>PS Defender + WMI services<br/>T1562.001 Disable Tools"] D --> E["💾 Destruicao de Backups<br/>vssadmin + wmic shadowcopy<br/>T1490 Inhibit Recovery"] E --> F["🔑 Criptografia ChaCha+ECDH<br/>Local + compartilhamentos<br/>T1486 Data Encrypted for Impact"] F --> G["💰 Site .onion de pagamento<br/>Exfiltração pre-cifragem<br/>USD 1.14M UCSF - pico COVID-19"] classDef access fill:#c0392b,color:#fff classDef inject fill:#e67e22,color:#fff classDef recon fill:#f39c12,color:#fff classDef disable fill:#8e44ad,color:#fff classDef backup fill:#2980b9,color:#fff classDef encrypt fill:#1a5276,color:#fff classDef impact fill:#1e3a5f,color:#fff class A access class B inject class C recon class D disable class E backup class F encrypt class G impact ``` ## Timeline ```mermaid timeline title Netwalker - Linha do Tempo 2019-08 : Identificado como Mailto ransomware 2019-11 : Renomeado Netwalker - técnica fileless documentada 2020-03 : COVID-19 phishing - ataques a hospitais e governo 2020-05 : Anuncio RaaS em forums underground - recrutamento afiliados 2020-06 : UCSF paga USD 1.14M - pesquisa COVID-19 2020-08 : CISA/FBI emitem alerta conjunto sobre Netwalker 2021-01 : DOJ apreende USD 454K de afiliado canadense 2021-01 : Site .onion derrubado - operacoes encerradas ``` ## Técnicas Utilizadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - CVE-2019-11510 Pulse VPN, CVE-2019-18935 Telerik - [[t1059-001-powershell|T1059.001 - PowerShell]] - desativacao do Defender e execução fileless - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - scripts de preparação - [[t1027-009-embedded-payloads|T1027.009 - Embedded Payloads]] - payload em Resource 31337 - [[t1027-010-command-obfuscation|T1027.010 - Command Obfuscation]] - VBScript ofuscado - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - RC4 em memoria - [[t1055-002-portable-executable-injection|T1055.002 - PE Injection]] - injecao em explorer.exe - [[t1106-native-api|T1106 - Native API]] - VirtualAlloc + reflective DLL - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - parada de servicos - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - inventario de defesas - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - Defender via PS - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - vssadmin + wmic - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - WMI systeminfo - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] - propagação em rede - [[t1112-modify-registry|T1112 - Modify Registry]] - persistência e configuração - [[t1569-002-service-execution|T1569.002 - Service Execution]] - criação de servico para execução - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - ChaCha + ECDH Curve25519 ## Detecção > [!warning] Fileless = Sem Evidência em Disco - SIEM e EDR Comportamental Sao Obrigatorios > A arquitetura fileless do Netwalker torna forense tradicional (busca por executaveis maliciosos) completamente ineficaz. A detecção depende exclusivamente de telemetria comportamental em memoria: monitoramento de injecao de código em `explorer.exe`, criação de threads suspeitas em processos legitimos, e chamadas a API de alocacao de memoria nao-executavel seguidas de execução. **Indicadores comportamentais:** - VBScript ou PowerShell fazendo chamadas `VirtualAlloc` com permissao `MEM_EXECUTE` - incomum para scripts - Threads injetadas em `explorer.exe` por processo filho de `wscript.exe` ou `powershell.exe` - PowerShell executando `Set-MpPreference -DisableRealtimeMonitoring $true` sem contexto de administracao legitimo - `wmic shadowcopy delete` executado fora de jánela de manutenção agendada - Conexoes de rede originando de `explorer.exe` para IPs externos - anomalo por padrao - Trafego HTTPS para dominios `.onion` via Tor embutido no payload **Sigma recomendado:** - `proc_creation_win_wscript_susp_injection.yml` - `proc_creation_win_vssadmin_delete_shadows.yml` - `sysmon_create_remote_thread_explorer.yml` - `proc_creation_win_powershell_disable_defender.yml` ## Relevância LATAM/Brasil O [[s0457-netwalker|Netwalker]] teve impacto documentado no Brasil e LATAM em dois momentos distintos. Em 2020, durante o pico da pandemia, o grupo atacou instituicoes brasileiras de saúde e educação - período em que hospitais públicos brasileiros estavam operando com capacidade maxima e sistemas de TI sobrecarregados. Em segundo lugar, o modelo fileless do Netwalker foi adotado e adaptado por grupos brasileiros de ransomware como o GOLD SOUTHFIELD (REvil), demonstrando transferencia de TTPs para o ecossistema criminal local. A exploração do CVE-2019-11510 (Pulse VPN) e especialmente relevante para o Brasil, onde diversas redes corporativas e governamentais utilizavam Pulse Secure como solução de VPN durante a expansao do trabalho remoto em 2020-2021 sem a devida aplicação de patches. O afiliado canadense preso em 2021 com USD 454K em Bitcoin havia atacado organizacoes no Brasil, Argentina e Colombia, segundo documentos do DOJ. ## Referências - [MITRE ATT&CK - S0457](https://attack.mitre.org/software/S0457) - [FBI/CISA Alert AA20-226A - Netwalker](https://www.cisa.gov/news-events/cybersecurity-advisories/aa20-226a) - [Trend Micro - Netwalker Fileless Analysis](https://www.trendmicro.com/en_us/research/20/e/netwalker-fileless-ransomware-injected-via-reflective-loading.html) - [DOJ - Netwalker Affiliaté Charges Jánuary 2021](https://www.justice.gov/opa/pr/canadian-national-charged-ransomware-attacks-more-17-countries) - [Sophos - Netwalker Technical Report](https://news.sophos.com/en-us/2020/05/27/netwalker-ransomware-tools-and-tactics/)