De bibliotheek voor digitale criminaliteit

LockBit-ransomware automatiseert zoektocht voor cybercriminelen

Gepubliceerd op 11 mei 2020 om 14:30

Aanvallen met ransomware gaan in 2020 onverminderd door. Hetzelfde geldt voor de ontwikkelingen in deze lucratieve vorm van malware. Daarmee maken deze het slachtoffers bovendien steeds moeilijker om géén losgeld te betalen. Alle nieuwste mogelijkheden op dit gebied lijken terug te komen in de 'LockBit-ransomware'.

Rapport 'LockBit-ransomware'

Zowel McAfee als Sophos kwam vorige week met een rapport over deze nieuwe ransomware. Daarin lijken alle nieuwe technieken voor infectie, verspreiding, versleuteling en tot slot afpersing te zijn toegepast. Zo omzeilt deze malware niet alleen de beschermende functionaliteit User Account Control (UAC) van Windows. Lockbit brengt cybercriminelen ook innovatie voor de voorheen arbeidsintensieve zoektocht naar de meest waardevolle bestanden om te versleutelen; die zoektocht wordt geautomatiseerd uitgevoerd.

Scheelt de aanvallers veel tijd en werk

Dit scheelt de aanvallers veel tijd en werk. Zij zijn soms al weken aanwezig in de systemen van hun slachtoffers voordat ze overgaan tot het daadwerkelijke versleutelen van kostbare data, om dan losgeld te eisen. Al die tijd lopen ze risico van detectie, waarmee de hele aanval teniet gedaan kan worden. Immers, geen of incomplete versleuteling van bestanden plus backups betekent geen succesvolle ransomware-aanval. Met LockBit kan dit hele proces nu in een paar uur worden uitgevoerd. Daarmee is de mogelijkheid van tijdige detectie ook sterk verminderd. 

Nederland nu aan de beurt

LockBit heeft tot nu toe vooral slachtoffers gemaakt in de Verenigde Staten, Groot-Brittannië, Frankrijk, Duitsland en India, maar ook Nederland is nu aan de beurt. Zo meldt de Volkskrant dat Van der Helm Logistics in februari door deze ransomware werd getroffen. Daarbij werden de bestanden op 20 servers en 200 pc’s versleuteld. Ook de backups ondergingen dit lot. Via een bruteforce-aanval verkregen de aanvallers de inloggegevens van de beheerder en hadden ze zo toegang tot het bedrijfsnetwerk. Een actuele backup bleek niet aanwezig en alles opnieuw opbouwen zou te duur worden, dus betaalde Van der Helm losgeld.

Dreiging met publicatie

Net als de al langer bestaande ransomware Maze en REvil dreigt LockBit met de publicatie van persoonsgegevens die bij het slachtoffer zijn opgeslagen, als er niet wordt betaald. Dan is er sprake van een datalek, wat tot grote boetes van toezichthouders kan leiden voor het gehackte slachtoffer. Dus zelfs als er goede backups zijn, of als het 'tijdsverlies' van oudere bestanden wordt geaccepteerd, is er nog een pressiemiddel wat de digitale afpersers kunnen inzetten.

Geen aanvallen op GOS

Een andere nieuwe eigenschap van LockBit is dat vóór het starten van de dataversleuteling nog wordt gecheckt of de datagijzeling wel door moet gaan. Daarvoor maakt de ransomware verbinding met een server die al onder controle staat van de aanvaller en bepaalt het aan de hand van het IP-adres van het gehackte systeem waar zich dit precies bevindt. Staat deze computer qua IP-adres in Rusland of een land dat bij het GOS (Gemenebest van Onafhankelijke Staten, verbond van voormalige Sovjet-staten) is aangesloten, dan stopt de aanval.

Bron: Agconnect

Schrijver: Tanja de Vrede

Gerelateerd nieuws

Maze ransomware gerelateerde berichten

REvil ransomware  gerelateerde berichten


«   »