LokiLocker Ransomware beschikt nu over een wissermodule

De LokiLocker-ransomware is een relatief nieuwe aankomst in het ransomware-landschap. De kwaadaardige toolkit werd voor het eerst in het wild gespot door beveiligingsonderzoekers in de zomer van 2021 en is onlangs bijgewerkt met een schijfwissermodule.

De LokiLocker-ransomware haalde de krantenkoppen nadat deze opnieuw werd onderzocht door een team met BlackBerry Threat Intelligence. De analyse wees uit dat de gevaarlijke tool nu schijfwisserfunctionaliteit had toegevoegd waarmee het gegevens op gecompromitteerde systemen onomkeerbaar kan vernietigen. De ransomware is niet direct gerelateerd aan de oudere Locky ransomware.

Dubbele afpersing en ruitenwissers

Ransomwarebendes gebruiken al bijna twee jaar dubbele en zelfs driedubbele afpersingsmethoden. De trend begon ergens eind 2020 met ransomware-outfits die zoveel mogelijk gevoelige informatie uit de systemen van het doelwit exfiltreren en vervolgens dreigden de informatie te lekken als het losgeld niet werd betaald. Deze tactiek voegt gewoon een extra stimulans toe om het losgeld te betalen, aangezien de geëxfiltreerde gegevens van bijzonder gevoelige aard kunnen zijn.

Als u er echter aan denkt om gegevens te gijzelen en het slachtoffer onder druk te zetten om het losgeld te betalen, is volledige gegevensvernietiging niet iets dat in de handen van de criminelen een goed hulpmiddel lijkt. Waarom voegen ransomware-actoren dan wiper-modules toe aan hun tools?

Het antwoord is nog steeds ongrijpbaar, zelfs voor onderzoekers, zo lijkt het. BlackBerry zag een verband tussen de LokiLocker-ransomware en een Iraans team van bedreigingsactoren, bekend als AccountCrack, maar de verbinding is nog steeds voorlopig en er is geen harde informatie waar de oorsprong van de ransomware ligt.

Minder totale aanvallen, nog steeds een aanzienlijke bedreiging

Ransomware daalt gestaag in het totale aantal aanvallen op jaarbasis, met minder aanvallen in het eerste kwartaal van 2022 in vergelijking met 2021. Hoewel deze trend misschien een kleine overwinning lijkt, heeft het meer te maken met de manier waarop ransomware-bedreigingen zijn begonnen te opereren.

In plaats van zoveel mogelijk aanvallen uit te voeren, proberen kwaadwillenden zich nu aan te scherpen op grote, hoogwaardige doelen die mogelijk veel grotere uitbetalingen kunnen opleveren. Dit lijkt de belangrijkste factor te zijn die het totale aantal aanvallen verlaagt, en niet een plotselinge verandering van hart bij een deel van de criminelen.