Innovatie & Strategie

Security
hacker, Rusland

Russische rechtbanken gewist door gloednieuwe malware

Op Rusland gerichte wiper die zich voordoet als ransomware.

6 december 2022

Op Rusland gerichte wiper die zich voordoet als ransomware.

Rechtbanken en gemeenten in Rusland hebben last van een gloednieuw stuk malware dat hun IT-systemen ontoegankelijk maakt. De zogeheten CryWiper presenteert zichzelf als ransomware, compleet met afpersingseis, maar blijkt data niet te versleutelen. Hij doet doelbewust aan datavernietiging.

Deze op Rusland gerichte malware is ontdekt en onthuld door securityleverancier Kaspersky, die Russisch is maar onder een Britse holding valt. Onderzoekers van het internationaal opererende bedrijf hebben gezien dat deze kwaadaardige software is ingezet voor zeer doelgerichte aanvallen op doelwitten in Rusland. Daarbij zijn rechtbanken en kantoren van burgemeesters op de korrel genomen, meldt de Russische krant Izvestia.

Veel of weinig aanvallen?

Het is vooralsnog niet bekend hoeveel aanvallen op hoeveel doelwitten er zijn uitgevoerd en hoeveel daarvan succesvol zijn geweest en in welke mate. Kaspersky legt nu wel de werking uit van de ontdekte malware. Deze doet zich voor als ransomware en verandert bestanden op geïnfecteerde computers.

Daarbij krijgen bestanden dan als extensie .CRY, wat volgens de securityonderzoekers uniek is voor CryWiper. Na het aanpassen van bestanden en hun extensies slaat de malware een tekstbestand op waarin de aanvallers hun afpersingseis stellen. Het gevraagde losgeld bedraagt een halve bitcoin (wat ruim 500.000 roebels is) en het tekstbestand bevat het adres voor de bitcoinwallet waar het bedrag heen moet.

'Betalen is zinloos'

Maar de malware is eigenlijk helemaal geen ransomware, constateert Kaspersky. Het is een zogeheten wiper: kwaadaardige software die data vernietigt. Een bestand dat is gewijzigd door CryWiper kan niet worden hersteld naar z'n oorspronkelijke staat. "Dus als je een losgeldeis ziet en je bestanden hebben een nieuwe .CRY-extensie, haast je dan niet om het losgeld te betalen: dat is zinloos", aldus Kaspersky.

In het verleden zijn er al gevallen van ransomware geweest die door slordige uitvoering dan effectief wipers waren. Decrypten van versleutelde bestanden mislukte dan, waardoor data verloren bleken. Daar tegenover zijn er ook praktijkvoorbeelden geweest van ransomware die door slecht programmeren de gebruikte encryptiesleutel juist verklapten. Daardoor was herstel zónder losgeldbetaling mogelijk, waar securityleverancier Kaspersky vaak aan heeft bijgedragen.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.