Architects Ransomware lijkt zich te richten op bedrijven

Tijdens onze analyse van nieuwe inzendingen stuitte ons onderzoeksteam op een kwaadaardig programma met de naam Architects. Dit programma valt onder de categorie ransomware, een type malware dat gegevens versleutelt en losgeld vraagt voor de ontsleuteling.

Op onze testmachine hebben architecten met succes bestanden gecodeerd en hun bestandsnamen gewijzigd door de extensie ".architects" toe te voegen. Een bestand met de naam "1.jpg" werd bijvoorbeeld "1.jpg.architects", en "2.png" werd omgezet in "2.png.architects", enzovoort voor alle betrokken bestanden. Na voltooiing van het coderingsproces genereerde de ransomware een bericht met de naam "readme.txt", waarin losgeld werd geëist.

De losgeldbrief achtergelaten door Architects informeert het slachtoffer over de codering van hun bestanden en waarschuwt tegen pogingen om decoderingstools van derden te gebruiken. Bovendien beweert het bericht dat gevoelige informatie uit het systeem is geëxfiltreerd. Het slachtoffer wordt verder gewaarschuwd dat als ze weigeren mee te werken met de aanvallers, de gestolen inhoud openbaar zal worden gemaakt.

Architects losgeldnota vermeldt geen specifiek losgeldbedrag

De volledige tekst van de losgeldbrief van Architects luidt als volgt:

Uw servers zijn VERGRENDELD. Probeer geen andere software te gebruiken.
Gevoelige gegevens op uw systeem zijn gedownload en worden gepubliceerd als u weigert mee te werken.
U kunt rechtstreeks contact met ons opnemen voor verdere instructies via e-mail:

sudorocky@tutanota.com
sudorocky@protonmail.com

Schrijf in het onderwerp uw persoonlijke id (hieronder).

Herstel informatie:
sleutel: -
persoonlijk ID: -

Hoe wordt ransomware zoals architecten online verspreid?

Ransomware wordt, net als architecten, doorgaans op verschillende manieren online verspreid. Deze distributietechnieken maken vaak gebruik van menselijke kwetsbaarheden, softwarekwetsbaarheden of beide. Hier volgen enkele veelvoorkomende manieren waarop ransomware zoals Architects online wordt verspreid:

• Phishing-e-mails: een van de meest voorkomende methoden om ransomware te verspreiden is via phishing-e-mails. Cybercriminelen sturen misleidende e-mails die er legitiem uitzien en schadelijke links of geïnfecteerde bijlagen bevatten. Wanneer gebruikers op deze links klikken of de bijlagen openen, wordt de ransomware op hun systeem uitgevoerd.
• Kwaadaardige websites en advertenties: Cybercriminelen kunnen legitieme websites binnendringen of valse websites maken waarop schadelijke code wordt gehost. Gebruikers die deze sites bezoeken, kunnen onbewust ransomware op hun apparaten downloaden. Evenzo kunnen kwaadaardige advertenties (malvertising) op legitieme websites gebruikers naar kwaadaardige sites leiden waar ransomware wordt verspreid.
• Exploitkits: Ransomware kan worden verspreid via exploitkits, dit zijn toolkits die gebruikmaken van bekende kwetsbaarheden in software. Wanneer gebruikers gecompromitteerde of kwaadaardige websites bezoeken, detecteren en exploiteren deze exploitkits automatisch kwetsbare software om ransomware te leveren.
• Remote Desktop Protocol (RDP)-aanvallen: cybercriminelen richten zich op RDP-services met zwakke wachtwoorden of beveiligingsfouten. Zodra ze toegang krijgen, zetten ze ransomware in op de gecompromitteerde systemen.
• Drive-by-downloads: bij drive-by-downloadaanvallen wordt ransomware automatisch gedownload en geïnstalleerd op het apparaat van een gebruiker wanneer deze een gecompromitteerde of kwaadaardige website bezoekt, zonder enige interactie of bewustzijn van de gebruiker.
• Kwaadaardige e-mailbijlagen en links: Ransomware kan worden afgeleverd als bijlagen of links in e-mails die gebruikers vragen om ze te downloaden of te openen. Deze e-mails kunnen zich voordoen als facturen, verzendmeldingen of andere ogenschijnlijk legitieme communicatie.