Ransomware cybercriminelen introduceren zoekfunctie als extra afpersmiddel

Gepubliceerd op 13 juli 2022 om 07:00

Twee hackersgroepen hebben een nieuwe tactiek bedacht om hun slachtoffers te overtuigen om losgeld te betalen. Ze hebben een zoekfunctie aan hun site toegevoegd, waarmee gedupeerden gericht kunnen zoeken naar bestanden en data die door hackers zijn buitgemaakt. Mogelijk volgen meerdere groepen op korte termijn.

RaaS van BlackCat

Eén van de hackersgroepen die experimenteert met een doorzoekbare database is BlackCat. Deze groep, die ook wel ALPHV of Noberus wordt genoemd, is een zogeheten RaaS-groep. ‘RaaS’ staat Ransomware-as-a-Service. Het is simpel gezegd een verdienmodel van hackers en cybercriminelen. Ze ontwikkelen ransomware, die andere hackersgroepen tegen betaling kunnen huren om cyberaanvallen uit te voeren. Daarvoor krijgen de ontwikkelaars een deel van de opbrengst.

BlackCat kondigde afgelopen week aan dat ze een website met zoekfunctie had gecreëerd. Bedrijven en organisaties die getroffen zijn door de gijzelsoftware van de hackersgroep en weigeren het gevraagde losgeld te betalen, kunnen deze tool gebruiken om te achterhalen welke data de aanvallers hebben gestolen. Alle gegevens zijn geïndexeerd en afkomstig van het Collections-gedeelte van de dataleksite van de hackersgroep.

Gedupeerden hebben de mogelijkheid om te zoeken op bestandsnaam en -extensie. Tevens is de tool bedoeld voor hackers om het makkelijker voor ze te maken om wachtwoorden en andere vertrouwelijke informatie over bedrijven en organisaties te vinden.

Reden voor het doorzoekbaar maken van gestolen data is volgens de hackers een soort van extra service. Hierdoor zouden andere cybercriminelen makkelijker wachtwoorden of andere vertrouwelijke informatie vinden voor andere aanvallen.

Druk uitoefenen 

Het is niet de eerste keer dat BlackCat met een doorzoekbare database experimenteert. Half juni deed de hackersgroep dit ook met gegevens die ze gestolen zouden hebben van een hotel en spa in Oregon. Hotel- en spagasten en werknemers konden toen in een oogopslag zien of hun persoonlijke gegevens waren buitgemaakt tijdens de ransomware-aanval.

BleepingComputer benadrukt dat een nieuwe tactiek is slachtoffers van cyberaanvallen onder druk te zetten het gevraagde losgeld te betalen. Dan werkt op verschillende niveaus. Zo kan het slachtoffer schrikken van de hoeveelheid gestolen gegevens. Om publicatie op internet of massaclaim van gedupeerden te voorkomen, kan het bedrijf alsnog besluiten te betalen.

Een andere optie is dat klanten, leden of werknemers de zoektool gebruiken om te kijken of hun privégegevens zijn buitgemaakt. In dat geval kunnen ze bij het getroffen bedrijf aankloppen en vragen om het losgeld te betalen. Deze vorm van uitbuiting noemen we ook wel triple extortion.

Aantrekkelijke optie

De tweede hackersgroep die met een database met geïntegreerde zoekfunctie werkt, is LockBit. Zij onthulde vorige week een vernieuwde versie van hun dataleksite. De zoekfunctionaliteit is echter niet zo geavanceerd als die van BlackCat. Slachtoffers kunnen enkel op hun naam zoeken. Desondanks is het hierdoor mogelijk om gegevens een specifieke bedrijven te vinden.

Een derde groepering genaamd Karakurt is druk bezig om de zoekfunctie te ontwikkelen. Deze functionaliteit staat echter nog in de kinderschoenen en werkt nog niet naar behoren.

“Data-afpersers beginnen nu pas de zoekfunctie te verkennen. Het is onduidelijk of het doorzoekbaar maken van gestolen gegevens een succesvolle tactiek is, maar nu meerdere afpersingsbendes er gebruik van maken, lijkt het een aantrekkelijke optie te zijn”, aldus de Amerikaanse techsite.

Bron: anoniem, bleepingcomputer.com, vpngids.nl

Ransomware aanval op Universiteit Maastricht

De Universiteit Maastricht is slachtoffer van een grote cyberaanval. Verschillende websites en ook het mailsysteem werken niet meer. Windows-computers zijn niet meer toegankelijk en sommige websites van de universiteit zijn uit de lucht.

Lees meer »

Hakbit Ransomware

Hakbit Ransomware is een gevaarlijke ransomware infectie. Natuurlijk begrijpen de meeste gebruikers die besmet raken met dit programma niet hoe dat gebeurt, maar als we meer te weten zouden komen over de distributiepatronen van ransomware, zouden we kunnen voorkomen dat 'Hakbit Ransomware' onze systemen binnendringt.

Lees meer »

Documenten advocatenkantoren VS versleuteld door ransomware

Belangrijke documenten van zo'n 125 Amerikaanse advocatenkantoren zijn halverwege oktober door ransomware versleuteld, wat invloed op lopende rechtszaken had. De advocatenkantoren maken gebruik van de software van TrialWorks. Het softwarebedrijf levert oplossingen waarmee advocatenkantoren hun documenten en zaken kunnen beheren. Hierbij worden documenten op servers van TrialWorks opgeslagen.

Lees meer »

Ransomware – MKB

Gijzelsoftware, waarmee bestanden worden 'gekidnapt' totdat het slachtoffer betaalt, is een groeiend probleem voor Nederlandse bedrijven. Dat signaleren beveiligingsonderzoekers, verzekeraars en branche-organisatie MKB-Nederland. 

Lees meer »

Ransomware grootste cyberdreiging voor het MKB

Leverancier van IT-oplossingen 'Dato', publiceert de bevindingen van zijn vierde jaarlijkse 'Global State of the Channel Ransomware Report'. Het onderzoek is uitgevoerd onder meer dan 1.400 Managed Service Providers (MSP’s) die de IT-systemen beheren voor het midden- en kleinbedrijf (mkb). Uit het rapport kwam naar voren dat ransomware nog steeds de meest voorkomende cyberdreiging is voor het mkb.

Lees meer »