Nieuwe multistage ransomware steelt ook wachtwoorden

De aanval start met een besmetting met Pony, een veelvoorkomende vorm van malware die heel effectief op zoek gaat naar gebruikersnamen en wachtwoorden op de pc. Deze gaan vervolgens naar een Command & Control server van de aanvallers. Het doel is zo veel mogelijk legitieme inloggegevens van webservers en content managementsystemen (CMS) te krijgen om zo nieuwe websites te kunnen injecteren met malware.

Zoeken naar kwetsbaarheden

In de tweede fase van de besmetting wordt het slachtoffer van een legitieme website gedirigeerd naar een malafide site waarbij de Angler-exploitkit op de pc wordt geladen. Deze zoekt naar allerlei bekende kwetsbaarheden in veelgebruikte software waaronder die in Windows. Deze kwetsbaarheden worden vervolgens gebruikt om CryptoWall 4.0 op het systeem te zetten. In deze laatste fase worden alle bestanden op de pc gegijzeld door de data te versleutelen. Gebruikers moeten vervolgens losgeld betalen via een viertal Bitcoin-gateways.

Update en backup

Volgens Heimdal zijn zeker 100 legitieme Deense websites geïnfecteerd met de scripts die bij deze aanval horen. Maar ook buiten Denemarken zijn verschillende voorbeelden gevonden, zegt de IT-beveiliger. Cruciaal element in deze aanpak is het gebruik van verouderde software door de slachtoffers. Het bedrijf hamert daarom nog maar eens op het installeren van de laatste beveiligingsupdates. Ook is het zeer regelmatig maken en testen van backups een belangrijke veiligheidsklep tegen dit soort cybercriminaliteit.