GrafGrafel Ransomware dreigt met dubbele afpersing

Tijdens het onderzoeken van nieuwe bestandsvoorbeelden ontdekte ons onderzoeksteam het kwaadaardige programma GrafGrafel, behorend tot de Phobos-ransomwarefamilie. Dit type malware versleutelt gegevens en vraagt losgeld voor de ontsleuteling.

Nadat we een voorbeeld van GrafGrafel op onze testmachine hadden uitgevoerd, werden de bestanden gecodeerd en hun bestandsnamen gewijzigd. De oorspronkelijke titels bevatten nu een unieke ID die aan het slachtoffer was toegewezen, het e-mailadres van de cybercriminelen en een extensie ".GrafGrafel". Een bestand dat aanvankelijk "1.jpg" heette, werd na codering bijvoorbeeld omgezet in "1.jpg.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel".

Na dit versleutelingsproces verschenen losgeldberichten in een pop-up ("info.hta") en tekstbestanden ("info.txt"). De tekstbestanden werden in gecodeerde mappen en op het bureaublad geplaatst. De inhoud van deze aantekeningen geeft aan dat GrafGrafel zich specifiek richt op bedrijven en niet op individuele gebruikers, waarbij gebruik wordt gemaakt van dubbele afpersingstactieken.

Zowel de pop-up- als de tekstbestanden bevatten identieke berichten, waarin staat dat de bestanden van het slachtoffer zijn gecodeerd en dat gevoelige bedrijfsgegevens zijn geëxfiltreerd. De aanvallers eisen losgeld en dreigen de gestolen informatie te lekken en de vergrendelde gegevens ontoegankelijk te houden als niet aan hun eisen wordt voldaan. De aantekeningen benadrukken het risico op bedrijfsdatalekken en vermelden een korting van 30% op het losgeld als het slachtoffer binnen 6 uur contact opneemt met de cybercriminelen.

Voordat het slachtoffer de betaling uitvoert, heeft het de mogelijkheid om de decodering van een paar kleine bestanden te testen. De berichten waarschuwen voor acties die kunnen leiden tot permanent gegevensverlies, zoals het opnieuw opstarten of afsluiten van het systeem, het hernoemen/kopiëren/verplaatsen of wijzigen van de getroffen bestanden, het gebruik van decoderingstools van derden en het contact opnemen met herstelbedrijven of autoriteiten.

De GrafGrafel-losgeldbrief beslaat meerdere pagina's tekst

De volledige tekst van het GrafGrafel-losgeldbriefje luidt als volgt:

ATTENTION

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.

About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

Waar u mee te maken krijgt als uw gegevens op de zwarte markt terechtkomen:
De persoonlijke gegevens van uw medewerkers en klanten kunnen worden gebruikt voor het verkrijgen van een lening of aankopen in online winkels.
U kunt door klanten van uw bedrijf worden aangeklaagd wegens het lekken van vertrouwelijke informatie.
Nadat andere hackers persoonlijke gegevens over uw werknemers hebben verkregen, wordt social engineering op uw bedrijf toegepast en zullen de daaropvolgende aanvallen alleen maar heviger worden.
Bankgegevens en paspoorten kunnen worden gebruikt om bankrekeningen en online portemonnees aan te maken waarmee crimineel geld kan worden witgewassen.
Je zult de reputatie voor altijd verliezen.
U zult worden onderworpen aan enorme boetes van de overheid.
Meer informatie over aansprakelijkheid voor gegevensverlies vindt u hier: hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation of hier hxxps://gdpr-info.eu
Rechtbanken, boetes en het onvermogen om belangrijke bestanden te gebruiken zullen tot enorme verliezen leiden. De gevolgen hiervan zijn voor u onomkeerbaar.
Contact opnemen met de politie zal u niet van deze gevolgen redden, en verloren gegevens zullen uw situatie alleen maar verergeren.

Hoe u contact met ons kunt opnemen
Schrijf ons naar de e-mails: GrafGrafel@tutanota.com
U kunt per telegram contact opnemen met onze online operator: @GROUNDINGCONDUCTOR (WEES VOORZICHTIG MET FAKE)
Download de (sessie) messenger hxxps://getsession.org in messenger:ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Schrijf deze ID in de titel van uw bericht -
ALS U BINNEN DE EERSTE 6 uur CONTACT MET ONS NEEMT, en wij onze deal binnen 24 uur sluiten, ZAL DE PRIJS SLECHTS 30% ZIJN.
(Tijd is geld voor ons allebei, als u op onze tijd let, zullen wij hetzelfde doen, wij zorgen voor de prijs en het decoderingsproces zal ZEER SNEL worden uitgevoerd)
ALLE GEDOWNLOADE GEGEVENS WORDEN NA betaling VERWIJDERD.

Wat niet te doen en aanbeveling
U kunt met minimale verliezen uit deze situatie komen (onze reputatie is ons geld!) !!! Om dit te doen, moet u de volgende regels strikt in acht nemen:
NIET wijzigen, NIET hernoemen, NIET kopiëren, GEEN bestanden verplaatsen. Dergelijke acties kunnen ze BESCHADIGEN en decodering zal onmogelijk zijn.
Gebruik GEEN decoderingssoftware van derden of openbare software, deze kan ook bestanden BESCHADIGEN.
Sluit het systeem NIET af of start het opnieuw op. Dit kan bestanden beschadigen.
Huur GEEN onderhandelaars van derden in (herstel/politie, enz.). U moet zo snel mogelijk contact met ons opnemen en de onderhandelingen starten.
U kunt ons 1-2 kleine gegevens, geen waardebestanden, sturen om te testen. Wij zullen deze decoderen en naar u terugsturen.
Na betaling hebben wij maximaal 2 uur nodig om al uw gegevens te ontsleutelen. Wij zullen u ondersteunen totdat de volledige decodering is voltooid! ! ! (Onze reputatie is ons geld!)

Instructies om contact op te nemen met ons team:
Download de (Sessie) messenger (hxxps://getsession.org) in messenger:ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Telrgram: @GROUNDINGCONDUCTOR (WEES VOORZICHTIG MET NEP)
MAIL: GrafGrafel@tutanota.com

Wat is de Phobos-familie van ransomware-klonen?

Phobos is een familie van ransomware waarvan bekend is dat deze zich op Windows-systemen richt. Het is ontworpen om bestanden op het geïnfecteerde systeem te versleutelen, waardoor ze ontoegankelijk worden voor de gebruiker, en vraagt vervolgens losgeld in ruil voor de decoderingssleutel. De Phobos-ransomwarefamilie wordt gekenmerkt door het gebruik van een specifieke bestandsextensie die aan de gecodeerde bestanden wordt toegevoegd, en die vaak de naam van de ransomware-variant weerspiegelt.

De door Phobos geleverde losgeldbriefjes bevatten doorgaans instructies over hoe het slachtoffer het losgeld kan betalen om de decoderingssleutel te verkrijgen. Phobos staat bekend om het gebruik van dubbele afpersingstactieken, waarbij het naast het versleutelen van bestanden ook gevoelige gegevens uit het gecompromitteerde systeem kan exfiltreren. De bedreigingsactoren achter Phobos gebruiken de gestolen gegevens vervolgens als hefboom en dreigen deze te publiceren tenzij het losgeld wordt betaald.

Het is belangrijk op te merken dat er veel varianten en klonen zijn binnen de Phobos-ransomwarefamilie, elk met zijn eigen specifieke kenmerken en werkingsmethoden. Deze varianten kunnen in de loop van de tijd door verschillende cybercriminele groepen worden geïntroduceerd of aangepast. Vanwege de evoluerende aard van ransomware werken cyberbeveiligingsexperts en antivirusbedrijven voortdurend aan het detecteren en beperken van bedreigingen die verband houden met de Phobos-familie en andere soorten ransomware. Het regelmatig updaten van beveiligingssoftware, het toepassen van goede cyberbeveiligingshygiëne en het handhaven van veilige back-uppraktijken zijn essentieel om het risico en de impact van ransomware-aanvallen te minimaliseren.

Tegen Zaib
December 7, 2023
Ransomware
Nederlands
December 7, 2023
Ransomware

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

5 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.