De meest gevreesde Ransomware versleutelingen

Gepubliceerd op 24 augustus 2020 om 16:57
De meest gevreesde Ransomware versleutelingen

Netwalker

Netwalker in een ransomware die in september 2019 werd ontdekt. Het draagt een tijdstempel van eind augustus 2019. Netwalker is een bijgewerkte versie van Mailto die ontdekt werd door de onafhankelijk cybersecurity-onderzoeker en Twitter-gebruiker GrujaRS.

Gegevens die tot nu toe zijn verzameld, geven aan dat de Netwalker-ransomware is gemaakt door een Russisch sprekende groep hackers. De cybercriminelen opereren onder de naam Circus Spider.

DopplePaymer

DoppelPaymer is een ransomware die actief is sinds 2019, het wordt ingezet bij gerichte aanvallen op specifieke bedrijven en/of bedrijfstakken.

Criminelen die een specifiek doelwit hebben, proberen vaak het hele netwerk te infiltreren (infecteren) (bijvoorbeeld alle computers die binnen een bepaald bedrijf worden gebruikt). Deze ransomware voegt de extensie ". Locked " toe aan de bestandsnaam van elk gecodeerd bestand. "Cybercrimeinfo.jpg" wordt bijvoorbeeld "Cybercrimeinfo.jpg.locked".

Elk versleuteld bestand ontvangt een bijbehorend losgeldbericht in een .txt-bestand. Bijvoorbeeld het bericht voor "Cybercrimeinfo." is opgenomen in "Cybercrimeinfo.jpg.readme2unlock.txt", enz. Bijgewerkte varianten van deze ransomware gebruiken de extensie ".doppeled" voor versleutelde bestanden.

Het deelt het grootste deel van zijn code met de "BitPaymer" ransomware-variant, die wordt beheerd door de cybercriminele groep die bekend staat als 'Indrik Spider' (die ook wordt geassocieerd met de "Dridex" banktrojan). Bijbehorende slachtoffers worden gepost op de Doppel Leaks-blog.

Nefilim

Nefilim is een nieuwe ransomware die opdook en zich tegen het einde van februari 2020 op internet begon te verspreiden, zoals gerapporteerd door Bleeping Computer. Het rapport suggereert dat de Nefilim-ransomware-code handtekeningen heeft die aangeven dat het een verbeterde versie van 'Nemty 2.5' is. Hoewel de twee overeenkomsten in hun code delen, hebben ze een belangrijk verschil in hun werking.

Nefilim communiceert met de slachtoffers via e-mails over de betalingen in plaats van Tor-betalingssites (darkweb). De belangrijkste overeenkomst van beiden is dan weer dat ze aangeboden worden als  Ransomware-as-a-Service (RaaS).

Er is nog niet bewezen dat Nefilim dezelfde groep hackers betreft als de hackers achter het Nemty ransomware variant.

Sekhmet

Sekhmet ransomware onderscheid zich van andere ransomware varianten door het feit dat je de ransomware zelf download van een geïnfecteerde website.

Uiteraard doet je dit niet met opzet, maar de cybercriminelen proberen je op allerlei manieren te verleiden tot het download van een malafide bestand waardoor je eigenlijk zelf de ransomware op je computer installeert.
Daarom moet u enkel downloaden van gerenommeerde websites om zo te voorkomen dat je malafide bestanden op je computer installeert.

O ja, als je dacht ik heb een virusscanner mij kan niets gebeuren! Dan moet ik je helaas teleurstellen gemiddeld ontdekt 'de beste virusscanner' slechts 50% a 55% van geïnfecteerde bestanden, virussen.

Maze

Maze ransomware voorheen  bekend als “ChaCha ransomware”, werd op 29 mei 2019 ontdekt door Jérôme Segura.

De hackers groep staat erom bekend dat ze zich voor doen als een overheidsinstanties en de aanval starten met een spearphishing-e-mail aanval om de ransomware zo verder te verspreiden.

Wordt je slachtoffer en betaal je niet voor het ontsleutelen van je gegevens dan wordt de buitgemaakte data gepubliceerd op de "Maze News blog" website. Deze dreiging is geen valse belofte, aangezien er al diverse bestanden van bedrijven zijn gepubliceerd, ook wel doxware genoemd.

Deze vorm van afpersing wordt steeds vaker toegepast, "Betaal je niet. Dan zetten we je vertrouwelijke gegevens online en verkopen we je waardevolle data op het darkweb!" Diverse bedrijven zijn hier al slachtoffer van geworden.

Deze werkwijze (MO) van eerst gegevens buitmaken en daarna het systeem te versleutelen om vervolgens bij het niet betalen voor het ontsleutelen van de bestanden te dreigen en publiceren van vertrouwelijke data zien we steeds vaker terug komen. Andere hackers groepen of ransomware varianten zoals Sodinokibi, Nemty, Ragnar en Clop cybercriminelen, gaan ook steeds vaker op deze manier te werk.

Ragnar

Ragnar ransomware is niet alleen ontworpen om gegevens te versleutelen, maar ook om geïnstalleerde programma's (zoals ConnectWise en Kaseya) te beëindigen, die vaak worden gebruikt door beheerde serviceproviders en verschillende Windows-services.

Deze ransomware hernoemt versleutelde bestanden door er een extensie aan toe te voegen die "ragnar" en een reeks willekeurige tekens bevat. Het zal bijvoorbeeld een bestand met de naam "Cybercrimeinfo.jpg" hernoemen naar "Cybercrimeinfo.jpg.ragnar_0DE48AAB", enzovoort. Het creëert ook een losgeldbericht met een tekstbestand, waarvan de naam dezelfde reeks willekeurige tekens bevat als de opgegeven extensie. In dit geval zou het losgeldbericht "RGNR_0DE48AAB.txt" heten .

Ragnar Locker wordt vaak geleverd via MSP-tools zoals ConnectWise, van waaruit de aanvallers een zeer gericht ransomware aanval op specifieke bestanden uitvoeren. Deze techniek wordt gebruikt voor zeer gevaarlijke ransomware campagnes, vaak onder de naam Sodinokibi .

Bij dit type aanval infiltreren de operators van de ransomware in eerste instantie organisaties via onbeveiligde of slecht beveiligde RDP-verbindingen en gebruikten vervolgens beide tools om Powershell-scripts naar alle toegankelijke eindpunten te pushen. De scripts hebben vervolgens een payload gedownload van Pastebin, die de ransomware uitvoert en de eindpunten versleutelt. In sommige gevallen is de payload een uitvoerbaar bestand dat wordt uitgevoerd als onderdeel van een bestand gebaseerde aanval, in andere gevallen zijn aanvullende scripts gedownload als onderdeel van een volledig bestandsloze aanval.

REvil / Sodinokibi

REvil (ook bekend als Sodinokibi) ransomware werd voor het eerst geïdentificeerd op 17 april 2019.

Het wordt gebruikt door de financieel gemotiveerde hackersgroep 'Gold Southfield', die ransomware verspreidt via exploitkits, scan-en-exploit-technieken, RDP-servers en backdoor-software. Onderzoekers suggereren dat REvil waarschijnlijk wordt geassocieerd met de GandCrab-ransomware vanwege vergelijkbare code en de opkomst van REvil toen de GandCrab-activiteit afnam. Onderzoekers schrijven GandCrab toe aan de 'Gold Southfield' hackersgroep.

REvil kan de volgende taken uitvoeren. De meeste van deze mogelijkheden zijn configureerbaar, waardoor een aanvaller de payload kan verfijnen.

  • Maak gebruik van de kwetsbaarheid van CVE-2018-8453 om bevoegdheden te verhogen
  • Beëindig processen op de zwarte lijst voorafgaand aan versleuteling om bronconflicten te voorkomen
  • Wis de inhoud van mappen op de zwarte lijst
  • Versleutel bestanden en mappen die niet op de witte lijst staan ​​op lokale opslagapparaten en netwerkshares
  • Exfiltreert (omgekeerde van infiltreren) elementaire hostinformatie

Clop

Clop ransomware werd op 8 februari 2019 ontdekt door Michael Gillespie en Jakub Kroustek.

Deze ransomware wordt continue verfijnd door cybercriminelen en er zijn enkele diverse varianten van de Clop-ransomware.

Clop gebruikt ingewikkelde 'codering algoritmen' om bestanden te coderen. De ontwikkelaars van de Clop-ransomware proberen ook hun slachtoffers bang te maken met gegevensverlies. De hackers beginnen de aanval meestal met een spearphishing aanval om zo in de systemen te infiltreren.

Clop Ransomware zat ook achter de aanval die de meeste Windows-servers van de Universiteit Maastricht op 23 december 2019 versleutelde , waarna de universiteit al haar systemen moest afsluiten als voorzorgsmaatregel tijdens onderzoeken.

In februari maakte de Universiteit Maastricht (UM) bekend dat het het losgeld van 30 bitcoin had betaald dat was aangevraagd door de Clop Ransomware cybercriminelen.