Ransomware weekoverzicht week 43 - 2020

Gepubliceerd op 26 oktober 2020 om 12:00
Ransomware weekoverzicht 43-2020

Afgelopen week is het druk geweest met nieuws over ransomware, waaronder nieuwe aanklachten tegen door de Russische staat gesponsorde hackers en talloze aanvallen op bekende organisaties.

In 2017 was er een aanval waarbij de NotPetya-ransomware werd gebruikt om gegevens op systemen wereldwijd te vernietigen. Deze week heeft de Amerikaanse regering zes Russische inlichtingendiensten, waarvan bekend is dat ze deel uitmaken van de beruchte 'Sandworm'-groep, aangeklaagd wegens hack operaties, waaronder NotPetya.

We hoorden ook van talloze aanvallen op grote organisaties, zoals 'Barnes & Noble', het 'Monreal openbaar vervoer (STM)', 'Sopra Steria' en 'Boyne Resorts'.

17 oktober 2020

Nieuwe Dharma-ransomwarevarianten

Jakub Kroustek  vond nieuwe Dharma-ransomwarevarianten die de  .Crypt- en .LCK- extensie aan gecodeerde bestanden toevoegen.

Nieuwe pransomware-ransomware

@Glacius_  vond een kopie van de BlackKingdom-ransomware die werd hernoemd naar Pransomware.

18 oktober 2020

Nieuwe STOP Djvu ransomware-variant

Michael Gillespie  vond een nieuwe STOP-ransomwarevariant die de .efji- extensie toevoegt aan gecodeerde bestanden.

19 oktober 2020

VS beschuldigt Russische GRU 'Sandworm'-hackers voor NotPetya, wereldwijde aanvallen

Het Amerikaanse ministerie van Justitie heeft zes Russische inlichtingendiensten aangeklaagd voor hack operaties in verband met de Olympische Winterspelen in Pyeongchang, de Franse verkiezingen van 2017 en de beruchte NotPetya-ransomwareaanval.

Nieuwe Vaggen Ransomware

Marcelo Rivero  vond een nieuwe ransomware genaamd Vaggen die de .VAGGEN-  extensie toevoegt  en losgeldnotities verwijdert met de naam ABOUT_UR_FILES.txt en AboutYourFiles.txt .

Nieuwe LocDown ransomware

Amigo-A ontdekt een nieuwe variant van de LocDown die de extensie .LockDown toevoegt.

20 oktober 2020

Darkside-ransomware schenkt $ 20.000 aan afpersingsgeld aan goede doelen

De exploitanten van Darkside-ransomware hebben een deel van het geld dat ze verdienden door slachtoffers af te persen gedoneerd aan de non-profitorganisaties Children International en The Water Project.

Barnes & Noble getroffen door Egregor ransomware, vreemde gegevens gelekt

De Egregor-ransomwarebende eist de verantwoordelijkheid op voor de cyberaanval op de Amerikaanse Bookstore-gigant Barnes & Noble op 10 oktober 2020. De aanvallers stellen dat ze niet-versleutelde bestanden hebben gestolen als onderdeel van de aanval.

Nieuwe Dharma-ransomwarevariant

Jakub Kroustek vond een nieuwe Dharma-ransomwarevariant die de  .259- extensie toevoegt  aan gecodeerde bestanden.

Nieuwe STOP Djvu ransomware-variant

Michael Gillespie vond een nieuwe STOP-ransomwarevariant die de .nypg-  extensie toevoegt aan gecodeerde bestanden.

Nieuwe variant van Black Heart ransomware

Siri  heeft een nieuwe Black Heart-ransomwarevariant gevonden die de .Viper-extensie toevoegt aan gecodeerde bestanden.

Nieuwe ransomware ontdekt

Siri heeft een nieuwe ransomware gevonden die de extensie .32aa aan versleutelde bestanden toevoegt

21 oktober 2020

LockBit-ransomware beweegt stil over het netwerk, slaat snel toe

LockBit-ransomware heeft slechts vijf minuten nodig om de versleutelingsroutine op doelsystemen te implementeren zodra deze op het netwerk van het slachtoffer terechtkomt.

Het STM-openbaarvervoersysteem van Montreal wordt getroffen door een ransomwareaanval

Het Société de transport de Montréal (STM) openbaar vervoersysteem van Montreal werd getroffen door een RansomExx-ransomwareaanval die invloed heeft gehad op services en online systemen.

Nieuwe Dharma-ransomwarevariant

Marcelo Rivero vond een nieuwe Dharma-ransomwarevariant die de .bH4T- extensie toevoegt  .

22 oktober 2020

Franse IT-gigant Sopra Steria getroffen door Ryuk-ransomware

De Franse IT-servicegigant Sopra Steria kreeg op 20 oktober 2020 een cyberaanval die naar verluidt delen van hun netwerk versleutelde met de Ryuk-ransomware.

Venom RAT voegt een ransomwaremodule toe

Karsten Hahn  ontdekt dat Venom RAT een ransomware-module heeft toegevoegd die de  .Venom- extensie toevoegt .

23 oktober 2020

WastedLocker-ransomware treft exploitant van skiresort Boyne Resorts

Boyne Resorts, de in de VS gevestigde exploitant van ski- en golfresorts, heeft te maken gehad met een cyberaanval door de WastedLocker-operatie die de reserveringssystemen van het hele bedrijf heeft beïnvloed.

Nieuwe RAT-malware krijgt opdrachten via Discord, heeft een ransomwarefunctie

De nieuwe 'Abaddon'-trojan voor externe toegang is mogelijk de eerste die Discord gebruikt als een volwaardige command and control-server die de malware instrueert welke taken ze moeten uitvoeren op een geïnfecteerde pc. Erger nog, er wordt een ransomwarefunctie ontwikkeld voor de malware.

Nieuwe ransomware ontdekt

Siri heeft een nieuwe HiddenTear-ransomwarevariant gevonden die zich voordoet als een GTA V-instaler, maar uw bestanden versleutelt met de .AnoymouS- extensie.

Nieuwe Dharma-ransomwarevariant

xiaopao  heeft een nieuwe Dharma-ransomwarevariant gevonden die de .Acuf2 -extensie toevoegt .

Nieuwe Clay ransomware

xiaopao vond de nieuwe Clay Ransomware.

Nieuwe Yatron Decrypt0r 2.0

GrujaRS  vond een nieuwe Yatron Decrypt0r-variant die de .Down_With_Usa- extensie toevoegt  aan gecodeerde bestanden.

Nieuwe Szymekk Ransomware

GrujaRS vond een nieuwe Syzmekk-ransomwarevariant die de .Szymekk- extensie toevoegt  .

Met dank aan de bijdragers van deze week:

@DanielGallagher, @ demonslay335, @VK_Intel, @BleepinComputer, @Seifreed, @PolarToffee, @serghei, @jorntvdw, @struppigel, @fwosar, @malwareforme, @Ionut_Ilascu, @LawrenceAbrams, @FourOctets, @malwrhunterteam, @ValeryMarchive, @Sophos, @BrettCallow, @thepacketrat, @Kangxiaopao, @siri_urz, @MarceloRivero, @JakubKroustek, @Glacius_ en @GrujaRS

Ransomware

Ransomware cyberaanvallen zijn een big business, zo groot zelfs dat onderzoek verwacht dat een bedrijf elke 11 seconden wordt aangevallen door een cybercrimineel  en dat de schade als gevolg van deze aanvallen tegen 2021 ongeveer 20.000.000.000.000,- (20 biljoen) dollar zal bedragen .

Wat is Ransomware?

Ransomware is software waarmee de computer wordt ‘gegijzeld’. Het slachtoffer kan niet meer bij zijn persoonlijke bestanden. Bij het opstarten van de computer verschijnt een melding dat een bedrag betaald moet worden om weer toegang te krijgen. Wil je meer weten over Ransomware, dan kun je hier verder lezen.

Doxware

Wat is Doxware?

Doxware is een soort ransomware die persoonlijke gegevens aan het publiek dreigt vrij te geven als de gebruiker het losgeld niet betaalt.

De term komt van de hacker-term 'doxing' of het vrijgeven van vertrouwelijke informatie via internet. Doxware-aanvallen infecteren computers vaak via phishing-e-mails. Meer weten over doxware, dan kun je hier verder lezen.

Advies

  1. Installeer een goede virusscanner.
  2. Houd alle software up-to-date, waaronder besturingssysteem, internetbrowser, browser aanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Voor software als Adobe Flash en Java is uitschakelen aan te raden.
  3. Klik niet op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je, kijk dan op de Opgelicht website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals of stuur hem door naar digitaalgids@consumentenbond.nl voor uitsluitsel. 
  4. Schakel geen macro's bij Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
  5. Ransomware is vaak een uitvoerbaar .exe-bestand, vermomd als ander soort bestand, bijvoorbeeld een pdf-document. Schakel  bestandsextensies weergeven, zodat je de vermomming kunt doorzien.
  6. En tenslotte: back-ups maken! Dat is sowieso verstandig, maar bij ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens te voorkomen.

Wilt u weten hoe uw digitale veiligheid is? Doe dan hier de test en ontvang uw test score. (.../10)

Meer weekoverzichten

Ransomware berichten

Doxware berichten

New York Pizza slachtoffer van doxwaring

New York Pizza is het slachtoffer geworden van doxware. Een onbekende dader is er in geslaagd om een groot aantal klantgegevens te bemachtigen. Hij dreigt deze gegevens openbaar te maken of te verkopen. De pizza keten adviseert klanten om het wachtwoord van hun account te veranderen.

Lees meer »

LG Electronics slachtoffer van Doxware

De cybercriminelen achter de Maze-ransomware claimt systemen van elektronicagigant 'LG Electronics' te hebben geïnfecteerd, waarbij ook door het bedrijf ontwikkelde broncode is buitgemaakt. Als LG het gevraagde losgeld niet betaalt zullen de criminelen de gestolen data openbaar maken.

Lees meer »