Beheer

Security
boos

Nieuwe methode ransomware maakt aanval grimmiger

Alleen aanvallers hebben nog werkende kopie van data in bezit.

© Shutterstock Fractal Pictures
28 september 2022

Alleen aanvallers hebben nog werkende kopie van data in bezit.

Ransomware-aanvallen kunnen de bedrijfsvoering ernstig in de war sturen. Zwichten voor de criminele eisers is in sommige gevallen een manier om snel weer door te kunnen. Niet betalen en proberen op een andere manier de sleutel te bemachtigen om data weer leesbaar te maken, is een andere route. Maar die wordt nu door criminelen afgesneden.

Volgens gezamenlijk onderzoek van IT-beveiligers Cyderes en Stairwell is er een nieuwe vorm van ransomware in opkomst. De ransomware vernietigt cruciale bestanden bij het slachtoffer, nadat deze eerst zijn gekopieerd naar de servers van de aanvallers. Op een andere manier proberen de gegevens weer te herstellen, zoals via No More Ransom, is dan niet meer mogelijk.

De onderzoekers kwamen deze tactiek tegen bij een aanval met BlackCat/ALPHV-ransomware. Zij stuitten op Exmatter, een .NET exfiltration tool die ook al werd aangetroffen in ransomeware-aanvallen met BlackMatter en Darkside. Er is meer dan een vermoeden dat deze drie opeenvolgende generaties zijn van dezelfde ransomwarefamilie. Darkside werd overigens vorig jaar gebruikt voor de grote ransomware-aanval op het energiebedrijf Colonial Pipeline, schijft ZDNet.

Exmatter werd tot nog toe gebruikt om sommige bestandstypes uit specifieke directories te halen en deze vervolgens te verzenden naar de servers van de aanvallers. Daarna versleutelde de ransomware de bestanden op de server van het slachtoffer en volgde de eis voor betaling. De onderzoekers hebben nu echter een nieuwe variant van Exmatter gevonden die in staat is de bestanden op de server van het slachtoffer te verminken of helemaal te vernietigen.

Versleutelen is uit de tijd

De nieuwe tactiek biedt het voordeel dat de ransomware de bestanden niet meer hoeft te versleutelen. Dat is een tijdrovend klusje. Bovendien is de ransomware-code in de nieuwe vorm eenvoudiger en dus minder foutgevoelig. Er zijn dan ook sneller nieuwe varianten te maken. Maar belangrijker is dat de nieuwe methode de aanvallers meer zekerheid geeft dat het slachtoffer wil betalen. Als alleen de aanvallers nog een werkende kopie hebben van de bestanden, neemt de kans toe dat het slachtoffer met geld over de brug komt.

De beste methode voor organisaties om het gevaar van een succesvolle ransomware-aanval af te wenden, is het tijdig toepassen van beveiligingsupdates. Ook helpt multifactor-authentication het risico dat onbevoegden toegang krijgen tot het netwerk te minimaliseren.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.