FiveHands Ransomware steelt en versleutelt bestanden en dreigt ze online te lekken

De FiveHands Ransomware is een trojan voor het versleutelen van bestanden, die heel anders is dan de reguliere bestandsvergrendelingen waarmee gebruikers te maken hebben. Doorgaans zijn ransomware-aanvallen nogal chaotisch en richten de daders zich op kwantiteit boven kwaliteit. Soms gaan meer geavanceerde bedreigingsactoren echter achter een specifieke reeks slachtoffers aan die veel eerder overwegen om het losgeld te betalen. Dit is het geval met de nieuw geïdentificeerde FiveHands Ransomware. Deze dreiging deelt overeenkomsten met de families DeathRansom en HelloKitty Ransomware, maar onderzoekers kunnen niet met zekerheid zeggen of dezelfde groep achter al deze ransomwarefamilies zit.

Een ander interessant feit over de FiveHands Ransomware is de infectievector die het gebruikt. In plaats van te vertrouwen op phishing-e-mails, maakten de daders gebruik van een zero-day-kwetsbaarheid in SonicWall SMA 100 Series VPN-hardware. Het beveiligingslek is in februari verholpen, maar klanten die de update nog niet hebben toegepast, lopen het risico dat de beveiliging van hun systeem in gevaar komt. Door de kwetsbaarheid in kwestie kunnen aanvallers willekeurige code uitvoeren, waardoor ze handmatig malware op gecompromitteerde systemen kunnen planten. Het is belangrijk op te merken dat de FiveHands Ransomware meestal de laatste dreiging was die werd gedropt - vooraf vertrouwden de criminelen op het Cobalt Strike-baken en op de SombRAT Trojan.

Net als typische ransomware-aanvallen, eindigt deze ook met een bericht voor het slachtoffer. De notitie zegt dat gebruikers de ingesloten berichtenclient moeten gebruiken om met de aanvallers te chatten en uit te zoeken hoe ze hun gegevens kunnen herstellen. De criminelen dreigen niet alleen de decoderingssleutel op te schonen, maar waarschuwen hun slachtoffers ook dat hun gegevens online kunnen worden gepubliceerd als ze niet akkoord gaan met betalen.

Helaas is de codering van FiveHands Ransomware niet gebrekkig en is gratis decodering geen optie - herstellen vanaf een back-up is de beste manier om de schade ongedaan te maken. Campagnes zoals deze zijn een goede herinnering waarom zowel systeembeheerders als thuisgebruikers ervoor moeten zorgen dat al hun software up-to-date is.

May 4, 2021

Laat een antwoord achter