De bibliotheek voor digitale criminaliteit

Ransomware weekoverzicht week 45 - 2020

Gepubliceerd op 9 november 2020 om 12:00

Ransomware - Gijzelsoftware

Afgelopen week is het druk geweest met wereldwijde aanvallen en is een van de grootste ransomware criminele operaties Maze "officieel" gestopt.

De week begon met de "officiële" aankondiging van de beruchte cybercriminelen dat ze zouden stoppen met de 'Maze-ransomware'. Tevens is vernomen dat veel van de aangesloten criminele organisaties nu overstappen op een nieuwere ransomware-operatie genaamd 'Egregor'. Er verscheen ook een nieuwe ransomware genaamd 'RegretLocker' die de Windows Virtual Storage API's gebruikt om virtuele machine harde schijven (VHD's) te koppelen om elk bestand afzonderlijk te versleutelen. Ten slotte zagen we aanvallen op game-ontwikkelaar Capcom , sterke drank Campari en een grootschalige aanval op de Braziliaanse overheidsnetwerken.

2 november 2020

Maze-ransomware stopt met operaties

De beruchte Maze-ransomware-bende heeft vandaag aangekondigd dat ze hun ransomware activiteiten "officieel" hebben stopgezet en niet langer gegevens van nieuwe bedrijven op hun site zullen lekken.

Nieuwe Jigsaw Ransomware

MalwareHunterTeam  heeft een nieuwe Jigsaw Ransomware-variant gevonden die de .evil- extensie toevoegt.

3 november 2020

Toonaangevende speelgoedmaker Mattel getroffen door ransomware

Speelgoedgigant Mattel maakte bekend dat ze in juli een ransomwareaanval hadden ondergaan die een aantal van zijn bedrijfsfuncties had aangetast, maar niet tot gegevensdiefstal leidde.

De nieuwe RegretLocker-gijzelsoftware richt zich op virtuele Windows-machines

Een nieuwe ransomware genaamd RegretLocker gebruikt een verscheidenheid aan geavanceerde functies waarmee het virtuele harde schijven kan versleutelen en geopende bestanden kan sluiten voor versleuteling.

Blackbaud klaagde in 23 class action-rechtszaken aan na een ransomwareaanval

De toonaangevende leverancier van cloud software Blackbaud is aangeklaagd in 23 voorgestelde class action-zaken van consumenten in de VS en Canada in verband met de ransomwareaanval die het bedrijf in mei 2020 heeft ondergaan.

4 november 2020

Scam PSA: Ransomware-bendes verwijderen niet altijd gestolen gegevens wanneer ze worden betaald

Ransomware-bendes komen steeds vaker hun belofte na om gestolen gegevens te verwijderen nadat een slachtoffer losgeld heeft betaald.

De eisen van ransomware blijven stijgen naarmate data-exfiltratie algemeen wordt en Maze onderdrukt

Het 'Coveware Quarterly Ransomware Report' beschrijft de respons op ransomware-incidenten in het derde kwartaal van 2020. Ransomwaregroepen blijven data-exfiltratie gebruiken als een tactiek, hoewel het vertrouwen dat gestolen gegevens zullen worden verwijderd, erodeert, aangezien standaardinstellingen vaker voorkomen wanneer geëxfiltreerde gegevens openbaar worden gemaakt ondanks het slachtoffer. betalen. In het derde kwartaal zag Coveware de Maze-groep hun activiteiten stopzetten toen de actieve filialen migreerden naar Egregor (een tak van Maze). We zagen ook de terugkeer van de oorspronkelijke Ryuk-groep, die sinds het einde van Q1 inactief was.

REvil ransomware bende 'verwerft' KPOT-malware

Ransomware-bende die beweert $ 100 miljoen te hebben verdiend, koopt de broncode van de KPOT-trojan voor informatiediefstal voor $ 6.500.

Nieuwe STOP Ransomware-variant

Michael Gillespie  vond een nieuwe variant van de STOP-ransomware die de .vpsh-  extensie toevoegt aan gecodeerde bestanden.

Lock2Bits wordt LuckyDay

Toffee  ontdekte dat Lock2Bits de naam LuckyDay krijgt. De ransomware gebruikt de  .luckyday- extensie en een losgeldbrief met de naam File Recovery.txt .

Nieuwe DCRTR Ransomware-variant

Michael Gillespie vond een nieuwe variant van de DCRTR-ransomware die de .termit- extensie toevoegt aan gecodeerde bestanden.

Nieuwe GlobeImposter-variant

M. Shahpasandi  vond een GlobeImposter 2-variant die de extensie .CC4H toevoegt .

Vreemde Bulgaarse ransomware

xiaopao  vond een nieuwe ransomware die de vreemde extensie van .pethya zaplat zasifrovano.pethya zaplat zasifrovano.pethya zaplat zasifrovano toevoegt .

5 november 2020

Capcom getroffen door Ragnar Locker ransomware, naar verluidt 1 TB gestolen

De Japanse game-ontwikkelaar Capcom heeft te maken gehad met een ransomware-aanval waarbij actoren beweren 1 TB aan gevoelige gegevens te hebben gestolen van hun bedrijfsnetwerken in de VS, Japan en Canada.

Campari getroffen door Ragnar Locker Ransomware, eiste $ 15 miljoen

Het Italiaanse drankbedrijf Campari Group werd getroffen door een Ragnar Locker-ransomwareaanval, waarbij naar verluidt 2 TB aan niet-versleutelde bestanden werd gestolen. Om hun bestanden te herstellen, eist Ragnar Locker $ 15 miljoen.

Braziliaans rechtssysteem onder massale RansomExx ransomware-aanval

Het Braziliaanse Hooggerechtshof werd dinsdag getroffen door een ransomwareaanval tijdens vonnis zittingen die plaatsvonden tijdens een videoconferentie.

Babax stealer verandert in Osno en installeert rootkit

Babax verandert niet alleen zijn naam, maar voegt ook een Ring 3 rootkit en laterale spreidingsmogelijkheden toe. Verder heeft het een ransomwarecomponent genaamd OsnoLocker. Is deze combinatie zo gevaarlijk als hij klinkt?

Nieuwe Tripoli-ransomware

Michael Gillespie vond een nieuwe ransomware genaamd Tripoli die de .crypted  extensie toevoegt en een HOW_FIX_FILES.htm losgeldbrief laat vallen.

Nieuwe LockDown ransomware

Marcelo Rivero  vond een nieuwe ransomware genaamd LockDown die de .sext toevoegt en een losgeldbrief plaatst met de naam HELP_DECRYPT_YOUR_FILES.txt.

New Vaca ransomware variant

xiaopao vond een nieuwe Vaca-ransomwarevariant die de extensie .locked3dllkierff toevoegt .

Nieuwe Beiguo MBRLocker gevonden

xiaopao  heeft een nieuwe MBRLocker gevonden die is "Powered by Beiguo."

6 november 2020 

De nieuwe Pay2Key-ransomware versleutelt netwerken binnen een uur

Een nieuwe ransomware genaamd Pay2Key is gericht op organisaties uit Israël en Brazilië en versleutelt hun netwerken binnen een uur in gerichte aanvallen die nog worden onderzocht.

RansomExx ransomware versleutelt ook Linux-systemen

Nu bedrijven vaak een gemengde omgeving van Windows- en Linux-servers gebruiken, zijn ransomware-operaties steeds meer begonnen met het maken van Linux-versies van hun malware om ervoor te zorgen dat ze alle kritieke gegevens versleutelen.

Nieuwe ZIMBA Dharma-ransomwarevariant

Michael Gillespie vond een nieuwe Dharma-ransomwarevariant die de .zimba- extensie toevoegt aan gecodeerde bestanden.

Nieuwe RexCrypt-ransomware

Michael Gillespie vond een nieuwe ransomware genaamd RexCrypt die de .RexCrypt- extensie toevoegt en een losgeldbrief plaatst met de  naam How-To-Decrypt-My-Files.hta .

Nieuwe Fusion Nefilim-variant

Michael Gillespie vond een nieuwe Nefilim-ransomwarevariant die de  .FUSION- extensie toevoegt  en een losgeldbrief plaatst met de naam FUSION-README.txt .

Met dank aan de bijdragers van deze week:

@fwosar, @Ionut_Ilascu, @VK_Intel, @demonslay335, @PolarToffee, @BleepinComputer, @DanielGallagher, @Seifreed, @LawrenceAbrams, @serghei, @malwrhunterteam, @FourOctets, @struppigel, @malwareforme, @jorntvdw, @_CPResearch_, @pancak3lullz, @Securelist, @BitMateus, @coveware, @smelly__vx, @campuscodi, @MarceloRivero, @M_Shahpasandi, @Amigo_A_, and @Kangxiaopao.

Ransomware

Ransomware cyberaanvallen zijn een big business, zo groot zelfs dat onderzoek verwacht dat een bedrijf elke 11 seconden wordt aangevallen door een cybercrimineel  en dat de schade als gevolg van deze aanvallen tegen 2021 ongeveer 20.000.000.000.000,- (20 biljoen) dollar zal bedragen .

Wat is Ransomware?

Ransomware is software waarmee de computer wordt ‘gegijzeld’. Het slachtoffer kan niet meer bij zijn persoonlijke bestanden. Bij het opstarten van de computer verschijnt een melding dat een bedrag betaald moet worden om weer toegang te krijgen. Wil je meer weten over Ransomware, dan kun je hier verder lezen.

Doxware

Wat is Doxware?

Doxware is een soort ransomware die persoonlijke gegevens aan het publiek dreigt vrij te geven als de gebruiker het losgeld niet betaalt.

De term komt van de hacker-term 'doxing' of het vrijgeven van vertrouwelijke informatie via internet. Doxware-aanvallen infecteren computers vaak via phishing-e-mails. Meer weten over doxware, dan kun je hier verder lezen.

Advies

  1. Installeer een goede virusscanner.
  2. Houd alle software up-to-date, waaronder besturingssysteem, internetbrowser, browser aanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Voor software als Adobe Flash en Java is uitschakelen aan te raden.
  3. Klik niet op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je, kijk dan op de Opgelicht website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals of stuur hem door naar digitaalgids@consumentenbond.nl voor uitsluitsel. 
  4. Schakel geen macro's bij Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
  5. Ransomware is vaak een uitvoerbaar .exe-bestand, vermomd als ander soort bestand, bijvoorbeeld een pdf-document. Schakel  bestandsextensies weergeven, zodat je de vermomming kunt doorzien.
  6. En tenslotte: back-ups maken! Dat is sowieso verstandig, maar bij ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens te voorkomen.

Wilt u weten hoe uw digitale veiligheid is? Doe dan hier de test en ontvang uw test score. (.../10)

Meer weekoverzichten

Ransomware berichten

Doxware berichten


«   »