Dit weten we van WasterLocker dat Garmin gijzelde

WasterLocker komt uit de koker van Evil Corp, een organisatie opgezet door de Russische hackers Igor Turashev and Maksim Yakubets. Eerder dit jaar zagen zij hun kans schoon door hun pijlen te richter op mensen die als gevolg van het uitbreken van de Covid-19-pandemie zich opeens gedwongen zagen thuis te werken.

Bij veel bedrijven en overheidsorganisaties was de beveiliging niet ingericht op thuiswerken, waardoor hackers makkelijker konden toeslaan. Evil Corp wil tussen de 500.000 en 1 miljoen dollar hebben in ruil voor het ontsleutelen van de gegevens. De criminelen richten zich op grote organisaties Computerbeveiliger Symantec telde eind juni al meer dan 30 vooral Amerikaanse organisaties uit de Fortune 500 die het slachtoffer waren van WasterLocker en bij wie voor vele miljoenen dollars losgeld was geëist. 

Recordbounty op hoofd criminelen

De Amerikaanse opsporingsdiensten hebben een beloning van 5 miljoen euro voor informatie die leidt tot de aanhouding van de twee oprichters van Evil Corp. Het is de hoogste beloning die tot nog toe 'op het hoofd' van cybercriminelen is gezet. 

WasterLocker wordt verspreid via spam e-mail, als bijlagen van e-mail, via gemanipuleerde websites maar ook via software-installatiebedrijven. Volgens het Sensors Tech Forum zijn er zo'n 150 sites gemanipuleerd waardoor deze een omleiding in gang zetten naar de host waarvan de Javascript-malware wordt gedownload. Die presenteert zich aanvankelijk als een update van de browsersoftware. Vervolgens word de malware-actie in een aantal stappen ingezet. Eerst wordt met Cobalt Strike-malware informatie verzameld over de computer en de gebruikers. Vervolgens maakt de malware gebruikt van het activerings- en updatemechanisme van Windows om rechten als administrator te krijgen. Daarbij wordt Windows Defender uitgeschakeld. 

Daarna wordt de daadwerkelijke ransomware-code actief en versleutelt alle informatie. Elke besmette computer toont dan een waarschuwing en een eis om losgeld te betalen. Een gedetailleerdere analyse van de werking van WasterLocker staat in een blog van Jim Walter op de site van SentinelLabs.