Backoff Ransomware verandert systeemachtergrond

Ons onderzoeksteam heeft de Backoff-ransomware geïdentificeerd tijdens een onderzoek van nieuwe bestandsvoorbeelden. Deze schadelijke software maakt deel uit van de Chaos-ransomwarefamilie, een type malware dat bekend staat om het versleutelen van gegevens en het eisen van losgeld voor het ontsleutelen.

Backoff codeert bestanden en voegt de extensie ".backoff" toe aan hun namen. Een origineel bestand met de naam "1.jpg" werd bijvoorbeeld "1.jpg.backoff", en "2.png" wordt omgezet in "2.png.backoff", enzovoort. Bovendien verandert de ransomware de bureaubladachtergrond en genereert een losgeldbrief met de naam "read_it.txt."

Volgens het bericht van Backoff zou de ransomware zijn vrijgegeven voor testdoeleinden. Opvallend is dat het briefje geen instructies bevat voor decodering of losgeld, maar wel contactgegevens van de aanvallers bevat. De notitie suggereert dat de auteur van de ransomware weet dat de ransomware zal worden onderzocht in een testbedsysteem, dus dit is waarschijnlijk een zeer vroege versie die nog steeds in actieve ontwikkeling is.

Backoff Ransom Note houdt het kort

De volledige tekst van de zeer korte losgeldbrief van Backoff luidt als volgt:

Good Afternoon.
Since you are being a pain and trying to grab my files and be nosey, here is a little treat.

Im testing stuff just as you are.

Care to chat. My tele is
@anontsugumi

Hoe kan ransomware zich via internet verspreiden?

Ransomware kan zich via verschillende methoden via internet verspreiden, waarbij kwetsbaarheden en menselijk gedrag worden misbruikt. Hier zijn enkele veelvoorkomende manieren:

Phishing-e-mails: Cybercriminelen gebruiken vaak phishing-e-mails om ransomware te verspreiden. Deze e-mails bevatten kwaadaardige bijlagen of links die, wanneer erop wordt geklikt, de ransomware kunnen downloaden en uitvoeren op het systeem van het slachtoffer.

Schadelijke websites en downloads: Het bezoeken van gecompromitteerde of kwaadwillige websites kan gebruikers blootstellen aan drive-by downloads, waarbij malware, inclusief ransomware, automatisch wordt gedownload en uitgevoerd op de computer van de gebruiker, zonder dat ze het weten.

Exploitkits: Cybercriminelen kunnen exploitkits gebruiken die zich richten op kwetsbaarheden in software en besturingssystemen. Als het systeem van een gebruiker niet correct is gepatcht of bijgewerkt, kunnen deze kits kwetsbaarheden misbruiken om ransomware te installeren.

Malvertising: Schadelijke reclame, of malvertising, houdt in dat er kwaadaardige code in online advertenties wordt geplaatst. Gebruikers die op deze advertenties klikken, kunnen onbewust ransomware op hun systemen downloaden.

Drive-by downloads: Ransomware kan worden geleverd via drive-by downloads, waarbij malware automatisch wordt gedownload en geïnstalleerd wanneer een gebruiker een gecompromitteerde of kwaadaardige website bezoekt. Dit kan gebeuren zonder dat de gebruiker actie hoeft te ondernemen.

Exploits van Remote Desktop Protocol (RDP): Aanvallers kunnen kwetsbaarheden in Remote Desktop Protocol (RDP) misbruiken om ongeautoriseerde toegang tot een systeem te verkrijgen. Eenmaal binnen kunnen ze ransomware inzetten.

Social engineering: Cybercriminelen gebruiken social engineering-technieken om individuen te misleiden om kwaadaardige bestanden te downloaden of op links te klikken. Dit kan zijn via valse software-updates, valse meldingen of verleidelijke aanbiedingen.

Watering Hole-aanvallen: Bij watering hole-aanvallen compromitteren cybercriminelen websites die vaak door de doelgroep worden bezocht. Wanneer gebruikers deze besmette sites bezoeken, kunnen ze onbewust ransomware downloaden.