Ransomware-operators kunnen nu uw gegevens stelen voordat ze worden gecodeerd

Zeppelin Ransomware Steals Data Before Encryption

Ransomware is keer op keer een van de krachtigste wapens in het arsenaal van cybercriminelen gebleken. Aanvankelijk moesten hackers hun eigen familie van bestandscoderende malware maken, wat niet bepaald een wandeling in het park is, maar op dit moment is het huren of downloaden van gratis te gebruiken soorten eenvoudig. De meeste gebruikers zijn zich nog steeds niet volledig bewust van de gevaren die op de loer liggen rond elke hoek van het internet, wat betekent dat de besmettingspercentages meestal vrij goed zijn, en hetzelfde gebrek aan bewustzijn betekent dat velen geen regelmatige back-ups van hun bestanden maken die, heeft op zijn beurt een positief effect op het saldo in de cryptocurrency-portefeuilles van de boeven.

Het is een beproefd bedrijfsmodel dat voor velen heeft gewerkt. Dit betekent echter niet dat de dreiging niet evolueert. Verre van, eigenlijk.

In het verleden werd ransomware meestal gebruikt in spray-and-pray-campagnes die voornamelijk gericht waren op thuisgebruikers. In de afgelopen maanden hebben cybercriminelen echter beseft dat de winst van het raken van grote organisaties groter zou kunnen zijn en is de focus enigszins verschoven. Cybersecurity-experts hebben nu een andere, meer verontrustende trend gezien.

Zeppelin ransomware steelt de gegevens van organisaties voordat deze worden versleuteld

Begin december waren Morphisec-onderzoekers getuige van een aanval op een klant van hen die in de vastgoedsector werkte. Na nader onderzoek beseften ze dat de hackers het bedrijf probeerden te infecteren met de Zeppelin ransomware, de nieuwste versie van de VegaLocker ransomware-als-service-familie. De aanvallers exploiteerden een externe bureaubladtoepassing met de naam ConnectWise Control (fka ScreenConnect), en in het algemeen was er niets ongewoons aan de infectieketen.

De onderzoekers merkten echter op dat, zodra het zich op een van de Windows-databaseservers van het slachtoffer bevond, de ransomware probeerde een kopie van de gegevens te maken en deze vervolgens naar de Command & Control (C&C) -server van de boeven te sturen. Daarna probeerde het verder door het netwerk te verspreiden en uiteindelijk implementeerde het de module voor het coderen van bestanden.

Met andere woorden, de Zeppelin-ransomware probeerde de bedrijfsgegevens te stelen voordat deze werden vergrendeld en vastgehouden. Volgens Catalin Cimpanu van ZDNet is dit verre van de enige ransomware-soort die dergelijke tactieken toepast. Hij zei dat aanvallers die de Maze-, REvil- en Snatch-ransomware-voorbeelden gebruiken, ook soortgelijke activiteiten hebben uitgevoerd. Maar waarom hebben ze plotseling besloten dat dit een goed idee is?

Een betrouwbaarder herstelmechanisme

Als je erover nadenkt, is het voor hackers verstandig om de bestanden te stelen voordat ze worden gecodeerd en losgeld te eisen. Ze lopen inderdaad het risico argwaan te wekken terwijl ze proberen veel gegevens te exfiltreren, maar de kans dat ze gepakt worden, is meestal niet zo hoog. En als je de voordelen van de extra stap bekijkt, begin je je zelfs af te vragen waarom ze er niet eerder aan hebben gedacht.

In een reguliere ransomware-aanval, wanneer het slachtoffer besluit het losgeld te betalen, sturen ze bitcoins naar de portemonnee van de boeven, en in ruil daarvoor verwachten ze een programma dat de vergrendelde bestanden decodeert. In sommige gevallen nemen de boeven gewoon het geld en rennen, maar er zijn genoeg ransomware-exploitanten die echt de intentie hebben om slachtoffers hun gegevens terug te geven zodra ze de betaling hebben ontvangen. Ze moeten echter wel hun eigen decryptors schrijven en helaas maken ze soms fouten.

We hebben veel verhalen gehoord van mensen die gegevens zijn kwijtgeraakt ondanks het betalen van het losgeld vanwege een defecte decoderingstool. De gebruikers zijn degenen die geld en gegevens verliezen, maar de impact is ook negatief voor de boeven, die er niet erg betrouwbaar uitzien en daarom minder snel door toekomstige slachtoffers worden betaald.

Als de hackers een kopie van de niet-gecodeerde gegevens hebben, kunnen ze deze na de betaling eenvoudig terugsturen naar de slachtoffers en ervoor zorgen dat de zaken relatief pijnloos weer normaal worden.

Let wel, als het slachtoffer een back-up heeft, is dit allemaal zinloos. Tenzij, natuurlijk, de hackers dreigen de gegevens te lekken als het losgeld niet wordt betaald.

Meer gebruik van chantage

Zoals we al zeiden, zijn de doelen vaak grote organisaties. Hackers kunnen geen vakantiefoto's of gênante selfies van hen stelen, maar ze kunnen handelsgeheimen en andere uiterst waardevolle informatie exfiltreren. En wanneer het aangevallen bedrijf zegt dat het niet zal betalen omdat het back-ups heeft, kunnen de boeven gemakkelijk dreigen om alle gevoelige gegevens te lekken.

Volgens het rapport van ZDNet hebben ransomware-exploitanten de gestolen databases al als tweede afpersingspunt gebruikt en hebben de boeven die de Maze-ransomware runnen zelfs een website gemaakt waarin ze alle bedrijven vermelden die weigerden het losgeld te betalen en vervolgens hun gegevens openbaar maakten door de groep.

Het moet gezegd worden dat niet alle hackers in staat zijn zo'n destructieve aanval uit te voeren. Als ze informatie van veel verschillende gebruikers of bedrijven willen stelen en coderen, hebben ze een grote C & C-infrastructuur nodig die duur kan zijn om te installeren en te onderhouden. Degenen die erin slagen om met de juiste configuratie te komen, hebben echter een duidelijk voordeel.

December 19, 2019

Laat een antwoord achter