We verliezen de ransomware vechten: Dit is de reden waarom
Een analyse van ransomware rapporteren over de afgelopen zes maanden, dan blijkt dat hoewel er een grote focus op grote doelen, gaan na individuele gebruikers is nog steeds erg populair.
De VegaLocker malware stam heeft de basis gelegd voor het nieuwe ransomware-as-a-service (RaaS) Buran die nemen op concurrenten door middel van korting op de tarieven.
Volgens McAfee onderzoekers Alexandre Mundo en Marc Rivero Lopez, Buran werd voor het eerst ontdekt in Mei 2019 en is nu toegetreden tot de gelederen van andere RaaS aanbiedingen REVil en Phobos.
Voor het eerst aangekondigd op een russisch forum, Buran operators lijken te zijn gericht op het vaststellen van persoonlijke relaties met criminele klanten.
In totaal 25 procent van de illegale winst gemaakt door de geslaagde infecties worden genomen door de auteurs — een aanzienlijke korting op de 30 tot 40 procent meestal vereist door de RaaS-exploitanten.
Zie ook: Ransomware: Bereid je voor hackers de lancering van nog meer destructieve malware-aanvallen
Het tarief, ook kan worden onderhandeld “met iedereen die garant staan voor een indrukwekkende mate van besmetting met Buran,” zeggen de onderzoekers.
Buran is beschreven in de advertentie als een stabiele spanning van malware die gebruik maakt van een offline cryptoclocker, 24/7 support, globale en sessie sleutels, en geen externe afhankelijkheden, zoals bibliotheken.
De malware is ook in staat om te scannen op lokale stations en het netwerk van paden en bevat optionele functies, inclusief de encryptie van bestanden zonder wijziging van extensies; het verwijderen van herstel punten en het opruimen van logs; back-up catalogus te verwijderen, en de middelen om zichzelf te verwijderen.
Buran exploitanten beweren de ransomware is compatibel met alle versies van het Microsoft Windows-besturingssysteem, maar McAfee ontdekte tijdens haar onderzoek dat sommige oudere versies, zoals Windows XP, immuun zijn.
CNET: Alexa, verwijderen wat ik net zei! Hier is hoe om Amazon te luisteren in
De Rig exploit kit is de gewenste aflevermethode voor de nieuwe ransomware familie en Microsoft Internet Explorer VBScript-Engine RCE kwetsbaarheid CVE-2018-8174 wordt gebruikt voor het exploiteren van machines voor de implementatie.
Twee versies van Buran, geschreven in Delphi, zijn tot nu toe gevonden, het tweede bevat verbeteringen op het origineel. De malware zal controleren om te zien als het slachtoffer van de machine is geregistreerd in Rusland, wit-rusland of Oekraïne, en als deze controles komen terug positief, Buran zal afsluiten.
Na het maken van ervoor dat de malware is in staat om bestanden te maken en bewaar ze in de tijdelijke mappen, Buran zal maken van registersleutels te handhaven persistentie, het toewijzen van het slachtoffer een ID, bestanden te coderen en boeken van een los geld nota.
Buran is afkomstig van VegaLocker en Jumper en wordt verondersteld om de volgende fase in de evolutie als gevolg van dergelijke gedragingen, artefacten en Tactieken, technieken en procedures (TTPs) gevonden binnen de code. Deze omvatten de wijzigingen in het register, de soorten bestanden die zijn opgeslagen in tijdelijke mappen, uitbreiding overlappende, en de oprichting van schaduwkopieën.
TechRepublic: VMware lanceert nieuwe Carbon Black security suite en Dell partnerschap
“Malware auteurs ontwikkeling van hun malware code om het te verbeteren en het meer professionele,” McAfee zegt. “Proberen om stealthy te verwarren security onderzoekers en AV-bedrijven zou een reden voor het veranderen van zijn naam tussen de revisies.”
Laatste week ASP.NET hosting provider SmarterASP.NET werd neergeslagen met een ransomware infectie. Klant-servers zijn versleuteld en ontoegankelijk, en de host van de eigen website werd ook beïnvloed.
Forrester Research schat dat ransomware aanvallen tegen de onderneming verhoogd met 500 procent jaar-op-jaar.
Vorige en aanverwante dekking
Ransomware: Waarom zijn we nog steeds aan het verliezen van de strijd – en de veranderingen die u moet maken, voordat het te laat is
Ransomware: Dit zijn de meest voorkomende aanvallen gericht op jou nu
De grote ASP.NET hosting provider geïnfecteerd met ransomware
Een tip? Get in touch veilig via WhatsApp | Signaal op +447713 025 499, of over Keybase: charlie0
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters