AttackFiles Ransomware behoort tot de MedusaLocker-familie

Tijdens ons onderzoek van nieuwe bestanden kwam ons onderzoeksteam het kwaadaardige programma AttackFiles tegen, dat geassocieerd is met de MedusaLocker-ransomwarefamilie. Dit soort software is gemaakt om bestanden te versleutelen en losgeld te eisen voor de ontsleuteling ervan.

Toen we een voorbeeld van AttackFiles in onze testomgeving uitvoerden, werden de bestanden gecodeerd en werd de extensie ".attackfiles" aan hun namen toegevoegd. Een bestand met de naam "1.jpg" zou bijvoorbeeld "1.jpg.attackfiles" worden, en "2.png" zou veranderen in "2.png.attackfiles", enzovoort.

Na voltooiing van het versleutelingsproces genereerde deze ransomware een losgeldbrief met de titel "How_to_back_files.html". In de notitie wordt naar het geïnfecteerde systeem verwezen als een 'bedrijfsnetwerk', wat aangeeft dat de doelwitten geen individuele thuisgebruikers zijn. In het losgeldbericht beweert AttackFiles dat er inbreuk is gemaakt op het bedrijfsnetwerk van het slachtoffer, dat bestanden zijn versleuteld met behulp van RSA- en AES-cryptografische algoritmen en dat vertrouwelijke en persoonlijke gegevens zijn gestolen.

Om de versleutelde bestanden terug te halen, wordt het slachtoffer geïnstrueerd losgeld te betalen. Als het slachtoffer weigert hieraan te voldoen, wordt de gestolen inhoud gelekt of verkocht. Voordat aan de losgeldeisen wordt voldaan, kan de decoderingsmogelijkheid gratis op 2-3 bestanden worden getest. De notitie waarschuwt ook voor acties die kunnen leiden tot permanent gegevensverlies.

AttackFiles losgeldbrief volledig

De volledige tekst van de losgeldbrief van AttackFiles luidt als volgt:

YOUR PERSONAL ID:

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to solve your problem.

We gathered highly confidential/personal data. These data are currently stored on a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
crypt2024_tm123@outlook.com
crypt2024_tm123@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Hoe wordt ransomware doorgaans online verspreid?

Ransomware wordt doorgaans online verspreid via verschillende methoden, waaronder:

Phishing-e-mails: Aanvallers sturen e-mails met kwaadaardige bijlagen of links, vermomd als legitieme berichten van vertrouwde bronnen zoals banken, rederijen of overheidsinstanties. Zodra de bijlage wordt geopend of op de link wordt geklikt, wordt de ransomware naar het systeem van het slachtoffer gedownload.

Malvertising: Schadelijke advertenties (malvertisements) op legitieme websites kunnen scripts bevatten die gebruikers omleiden naar websites die ransomware hosten of die ransomware rechtstreeks naar het apparaat van de gebruiker downloaden, zonder dat ze dit weten.

Exploit Kits: Dit zijn voorverpakte softwarepakketten die verschillende exploits bevatten die zich richten op kwetsbaarheden in verouderde software of besturingssystemen. Wanneer een gebruiker een gecompromitteerde website bezoekt, scant de exploitkit zijn systeem op kwetsbaarheden en levert het ransomware-payloads.

Remote Desktop Protocol (RDP)-aanvallen: Aanvallers misbruiken zwakke of standaardwachtwoorden op RDP-services om ongeautoriseerde toegang tot systemen te verkrijgen. Eenmaal binnen implementeren ze ransomware rechtstreeks op het netwerk.

Drive-by downloads: Dit gebeurt wanneer een gebruiker een gecompromitteerde of kwaadaardige website bezoekt en malware automatisch wordt gedownload en op zijn systeem geïnstalleerd zonder zijn toestemming of medeweten.

Peer-to-Peer (P2P) bestandsdeling: Ransomware kan worden verspreid via illegale software, games of mediabestanden die worden gedeeld op P2P-netwerken. Aanvallers kunnen ransomware vermommen als legitieme bestanden om gebruikers te misleiden zodat ze deze downloaden en uitvoeren.

Schadelijke links in chat-apps en sociale media: Aanvallers kunnen ransomware verspreiden via links die worden gedeeld in chat-applicaties of sociale-mediaplatforms, waardoor gebruikers worden verleid om erop te klikken met verleidelijke berichten of aanbiedingen.

Watering Hole-aanvallen: bij deze methode compromitteren aanvallers websites die vaak door hun doelgroep worden bezocht. Wanneer gebruikers deze besmette sites bezoeken, worden ze onbewust blootgesteld aan ransomware.

Dit zijn slechts enkele voorbeelden van hoe ransomware online kan worden verspreid. Aanvallers ontwikkelen voortdurend hun tactieken om beveiligingsmaatregelen te omzeilen en kwetsbaarheden te misbruiken, waardoor het voor gebruikers en organisaties van cruciaal belang is om waakzaam te blijven en robuuste cyberbeveiligingspraktijken toe te passen.