De bibliotheek voor digitale criminaliteit

Ransomware weekoverzicht week 46-2020

Gepubliceerd op 16 november 2020 om 12:00

Ransomware overzicht

Er waren afgelopen week niet veel bekende grote ransomware-aanvallen, maar we hebben gezien dat ransomware cybercriminelen hun tactieken ontwikkelden om hun slachtoffers verder af te persen. De grootste  aanval deze week was tegen de Taiwanese laptop maker 'Compal', die werd getroffen door DoppelPaymer. De cybercriminelen eisen $ 17 miljoen (14,4 miljoen euro) om een ​​decoderingsprogramma te ontvangen en om geen gestolen bestanden te lekken (doxware).

Nieuwe tactiek

Ransomware cybercriminelen zijn afgelopen week ook begonnen met nieuwe tactieken om hun slachtoffers onder druk te zetten om losgeld te betalen. Na hun aanval op 'Campari' hackte Ragnar Locker het account van een Facebook-adverteerder om  Facebook-advertenties weer te geven om hun aanval te promoten  en te dreigen meer gegevens vrij te geven. Hun strategie is om zoveel mogelijk druk uit te oefenen op het slachtoffer door middel van publieke bewustwording in de hoop dat dit hen zal dwingen het losgeld te betalen.

Een andere  nieuwe tactiek die door DarkSide  is aangekondigd, zijn hun plannen om een ​​fout tolerante gedistribueerde opslagdienst te creëren, gebaseerd op Iran of andere "niet-erkende republieken". Hun doel is om deze opslag te gebruiken als een platform om de gegevens van slachtoffers gedurende zes maanden te lekken, en vanwege de gedistribueerde aard ervan kunnen de andere servers de gegevens nog steeds lekken als een server wordt uitgeschakeld door wetshandhaving.

Voor het overige waren deze week voornamelijk nieuwe varianten van bestaande ransomware families.

9 november 2020

Valse Microsoft Teams-updates leiden tot de implementatie van Cobalt Strike

Ransomware-operators gebruiken kwaadaardige nep advertenties voor Microsoft Teams-updates om systemen te infecteren met achterdeurtjes die Cobalt Strike hebben ingezet om de rest van het netwerk in gevaar te brengen.

Nieuwe STOP-ransomware variant

Michael Gillespie  vond een nieuwe STOP-ransomware variant die de .agho- extensie toevoegt  aan gecodeerde bestanden.

Nieuwe Dusk 2-ransomware variant

Lukáš Zobal  vond de nieuwe Dusk 2-ransomware variant die de .DUSK- extensie toevoegt aan gecodeerde bestanden en een losgeld nota plaatst met de naam README.txt.

Laptop maker Compal werd getroffen door ransomware en eiste 17 miljoen dollar

De Taiwanese laptop fabrikant Compal Electronics kreeg vorig weekend te maken met een DoppelPaymer ransomware-aanval, waarbij de aanvallers bijna $ 17 miljoen (14,4 miljoen euro) losgeld eisten.

10 november 2020

Nieuwe HowAreYou Ransomware

S! Ri  heeft een nieuwe ransomware gevonden die de extensie .howareyou aan versleutelde bestanden toevoegt.

Nieuwe AgeLocker ransomware-variant

JAMESWT  vond een nieuwe AgeLocker ELF-ransomware (gericht op QNAP-apparaten) die het .kmd- achtervoegsel toevoegt  aan gecodeerde bestanden.

11 november 2020

Recente golf van ransomware gericht op Israël, gekoppeld aan Iraanse dreigingsactoren

Twee recente ransomware golven die gericht waren op Israëlische bedrijven, zijn terug te voeren op Iraanse dreigingsactoren.

New Devos Ransomware

xiaopao  heeft een nieuwe ransomware gevonden die de .devos- extensie toevoegt . Dit is anders dan Phobos, die ook deze extensie gebruikte.

Ransomware-bende hackt Facebook-account om afpersingsadvertenties uit te voeren

Een ransomware groep is nu begonnen met het plaatsen van Facebook-advertenties om slachtoffers onder druk te zetten om losgeld te betalen.

12 november 2020

Steelcase-meubel gigant 2 weken stil na ransomware aanval

Kantoormeubel gigant 'Steelcase' zegt dat er geen informatie is gestolen tijdens een Ryuk-ransomware aanval die hen dwong de wereldwijde activiteiten ongeveer twee weken stil te leggen.

13 november 2020

DarkSide-ransomware creëert een veilige datalek dienst in Iran

De DarkSide Ransomware-operatie beweert dat ze een gedistribueerd opslagsysteem creëren in Iran om gestolen gegevens van slachtoffers op te slaan en te lekken. Om te laten zien dat ze menen, heeft de ransomware bende $ 320.000 (270.000 euro) gestort op een hacker forum.

CRAT wil uw endpoints plunderen

Cisco Talos heeft onlangs een nieuwe versie van de CRAT-malware familie ontdekt. Deze versie bevat meerdere RAT-mogelijkheden, extra plug-ins en een verscheidenheid aan detectie-ontwijkingstechnieken. In het verleden is CRAT toegeschreven aan de Lazarus Group, de kwaadwillende bedreigingsactoren achter meerdere cyber campagnes, waaronder aanvallen op de entertainment sector.

Nieuwe STOP-ransomware variant

Michael Gillespie vond een nieuwe STOP-ransomware variant die de .vvoa-extensie toevoegt aan gecodeerde bestanden.

LV Ransomware-groep lijkt Revil-software te gebruiken

Michael Gillespie vond een ransomware groep die bekend staat als "LV" en REvil-software gebruikte. 

Met dank aan de bijdragers van deze week:

@serghei, @malwrhunterteam, @jorntvdw, @PolarToffee, @VK_Intel, @Ionut_Ilascu, @ demonslay335, @LawrenceAbrams, @struppigel, @FourOctets, @malwareforme, @Seifreed, @DanielGallagher, @fwosar, @BleepinComputer, @LukasZobal, @siri_urz, @JAMESWT_MHT, @Unit42_Intel, @briankrebs, @Kangxiaopao, @MsftSecIntel, @campuscodi, @Intel_by_KELA, @briankrebs en @IntelAdvanced.

Ransomware

Ransomware cyberaanvallen zijn een big business, zo groot zelfs dat onderzoek verwacht dat een bedrijf elke 11 seconden wordt aangevallen door een cybercrimineel  en dat de schade als gevolg van deze aanvallen tegen 2021 ongeveer 20.000.000.000.000,- (20 biljoen) dollar zal bedragen .

Wat is Ransomware?

Ransomware is software waarmee de computer wordt ‘gegijzeld’. Het slachtoffer kan niet meer bij zijn persoonlijke bestanden. Bij het opstarten van de computer verschijnt een melding dat een bedrag betaald moet worden om weer toegang te krijgen. Wil je meer weten over Ransomware, dan kun je hier verder lezen.

Doxware

Wat is Doxware?

Doxware is een soort ransomware die persoonlijke gegevens aan het publiek dreigt vrij te geven als de gebruiker het losgeld niet betaalt.

De term komt van de hacker-term 'doxing' of het vrijgeven van vertrouwelijke informatie via internet. Doxware-aanvallen infecteren computers vaak via phishing-e-mails. Meer weten over doxware, dan kun je hier verder lezen.

Advies

  1. Installeer een goede virusscanner.
  2. Houd alle software up-to-date, waaronder besturingssysteem, internetbrowser, browser aanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Voor software als Adobe Flash en Java is uitschakelen aan te raden.
  3. Klik niet op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je, kijk dan op de Opgelicht website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals of stuur hem door naar digitaalgids@consumentenbond.nl voor uitsluitsel. 
  4. Schakel geen macro's bij Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
  5. Ransomware is vaak een uitvoerbaar .exe-bestand, vermomd als ander soort bestand, bijvoorbeeld een pdf-document. Schakel  bestandsextensies weergeven, zodat je de vermomming kunt doorzien.
  6. En tenslotte: back-ups maken! Dat is sowieso verstandig, maar bij ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens te voorkomen.

Wilt u weten hoe uw digitale veiligheid is? Doe dan hier de test en ontvang uw test score. (.../10)

Meer weekoverzichten

Ransomware berichten

Doxware berichten

Cybercrime algemeen


«   »