Klik en versleuteld is terug

Gepubliceerd op 1 juli 2020 om 06:21

In de afgelopen maand hebben onderzoekers van Proofpoint een toename van e-mail-gebaseerde ransomware-aanvallen waargenomen waarbij ransomware al in de eerste fase werd gebruikt. Dit is opmerkelijk omdat de afgelopen jaren aanvallers de voorkeur gaven aan downloaders (doxware) in de eerste fase van een aanval.

Deze downloaders leveren vervolgens ransomware in de tweede of latere fase. Dat ransomware steeds vaker in de eerste fase van een aanval wordt verzonden, kan de terugkeer van grote ransomware-campagnes inluiden die we in 2018 hebben gezien.

In eigen moedertaal

Deze aanvallen hadden betrekking op veel verschillende ransomware-families en waren gericht op tal van industrieën in de Verenigde Staten, Frankrijk, Duitsland, Griekenland en Italië. Ze maken vaak gebruik van misleidende berichten in de moedertaal. Enkele voorbeelden van ransomware-families die Proofpoint tot nog toe heeft gezien:

Ransomware
Avaddon Een nieuwe soort
Buran Benoemd naar de Russische spaceshuttle
Darkgate
Philadelphia Iets wat Proofpoint al in 2017 heeft gezien
Mr. Robot
Ranion

Elk van deze ransomware-families versleutelt de bestanden van het slachtoffer en tegen betaling worden de gegevens weer vrijgegeven.

Avaddon

Avaddon, een nieuwere ransomware die is gericht op Amerikaanse organisaties, valt op omdat het zijn eigen merknaam heeft en vaak deel uitmaakt van grootschalige campagnes.

Meer dan een miljoen berichten met Avaddon werden verzonden van 4-10 juni 2020 en meer dan 750.000 berichten werden alleen op 6 juni 2020 verzonden.

Deze campagnes zijn voornamelijk verzonden naar productie-, onderwijs-, media- en entertainment organisaties. De Avaddon-campagne van 4 juni 2020 was bijna uitsluitend gericht op transportbedrijven en schooldistricten.

Avaddon is een voorbeeld van "ransomware-as-a-service" (RaaS), waarbij cybercriminelen anderen betalen voor het gebruik van de ransomware in plaats van zelf de ransomware en infrastructuur te bouwen.

Recente Avaddon-berichten bevatten onderwerpregels zoals

  • "Ken je hem?"
  • "Onze oude foto"
  • "Foto voor jou"
  • "Vind je mijn foto leuk?"
  • "Ben jij dit?"
  • 'Je nieuwe foto?'
  • "Ik vind deze foto leuk"

Wanneer geopend, downloadt de meegeleverde bijlage Avaddon met PowerShell. Zodra Avaddon is uitgevoerd, wordt het losgeldbericht in afbeelding (1) weergegeven en wordt later een betaling van $ 800 in bitcoin via TOR vereist. De Avaddon-aanvallers bieden ook 24/7 ondersteuning en middelen bij het kopen van bitcoin, het testen van bestanden voor decodering en andere uitdagingen die slachtoffers kunnen beletten het losgeld te betalen.

Abaddon Infection Message (1)

Mr. Robot

Deze Mr. Robot ransomware-aanval gebruikte een COVID-19-lokaas om gerichte gebruikers te overtuigen om te klikken.

Tussen 19 mei en 1 juni 2020 was een reeks Mr. Robot-campagnes gericht op Amerikaanse entertainment-, productie- en bouworganisaties.

Ontvangers van deze campagnes krijgen berichten die beweren afkomstig te zijn van "Departament (sic) of health", "Departament (sic) of health & human services", "Health Service" en "Health Care" met onderwerpregels als:

  • Uw COVID19-resultaten zijn gereed / 85108
  • Uw COVID19-resultaten zijn klaar # 85513
  • Uw COVID_19-resultaten # 99846
  • Bekijk uw COVID19-resultaat # 99803
  • humane immunodeficiëntie virusanalyse # 93545
  • COVID19-virustestresultaat / 61043
  • COVID19-virusresultaat / 64745
  • COVID19 virusanalyse # 83273
  • Controleer uw COVID_19-test # 65619
  • Uw COVID_19-resultaten nr.80420

De ontvanger wordt aangemoedigd om op een link in het bericht te klikken, zoals hieronder weergegeven. Als erop wordt geklikt, wordt Mr. Robot ransomware geïnstalleerd en verschijnt er een betalingsverzoek van $ 100.

Mr. Robot COVID-19 Lure

Philadelphia

Na een onderbreking van bijna drie jaar is de Philadelphia-ransomware teruggekeerd met een campagne die voornamelijk gericht is op productie- en voedsel- en drankbedrijven in Duitsland met Duitstalig klik verleiding.

Deze berichten beweren afkomstig te zijn van de "Bondsregering van Duitsland" en gebruiken de vlag en het insigne van de Bondsrepubliek Duitsland, samen met een onderwerp dat luidt: "Die Entscheidung, Ihr Unternehmen aufgrund von Covid-19 zu schließen" (vertaald: "The beslissing om uw bedrijf te sluiten vanwege Covid-19 "). De ontvanger wordt aangemoedigd om op de link te klikken die Philadelphia installeert als een eerste laadstapel en een losgeldbericht toont waarin een (in het Engels) betaling van 200 euro wordt geëist, zoals weergegeven in afbeelding (4).

Philadelphia German Lure

Philadelphia Ransom Note (4)

Gelijk ransomware na klikken

Deze recente opkomst van ransomware als eerste payload is onverwacht na zo'n lange, relatief rustige periode. De verandering in tactiek kan een aanwijzing zijn dat cybercriminelen terugkeren naar ransomware en deze gebruiken in nieuwe vormen. Verschillende actoren die ransomware-payloads uitproberen als de eerste fase in e-mail, zijn sinds 2018 niet in aanzienlijke hoeveelheden gezien. Hoewel deze volumes nog steeds relatief klein zijn, is deze verandering opmerkelijk. De volledige betekenis van deze verschuiving is nog niet duidelijk, wat wel duidelijk is, is dat het dreigingslandschap snel verandert en dat verdedigers het onverwachte moeten blijven verwachten.

Ransomware As An Initial Payload Reemerges Avaddon Philadelphia Mr Robot And More Proofpoint US
PDF – 1,2 MB 525 downloads

Bron: proofpoint

Gerelateerd nieuws