De dreiging van ransomware neemt toe: wat moet er gebeuren om te voorkomen dat aanvallen erger worden? Nu kijken
Cybercriminelen verspreiden een nieuwe vorm van ransomware in aanvallen op slachtoffers waarbij ze niet alleen het netwerk versleutelen, maar ook dreigen met het lanceren van DDoS-aanvallen (Distributed Denial of Service) en om werknemers en zakenpartners lastig te vallen als er geen losgeld wordt betaald .
De ransomware, genaamd Yanluowang, werd ontdekt door cybersecurity-onderzoekers in het Symantec Threat Hunter-team van Broadcom Software terwijl ze onderzoek deden naar een poging tot cyberaanval op een niet nader genoemde grote organisatie.
Hoewel de poging tot aanval niet succesvol was, bracht het onderzoek een nieuwe vorm van ransomware aan het licht. Het gaf ook inzicht in hoe sommige cybercriminelen aanvallen effectiever proberen te maken, in dit geval met de dreiging van extra aanvallen.
ZIE: Een winnende strategie voor cyberbeveiliging (speciaal rapport ZDNet)
Yanluowang laat een losgeldbriefje achter om het slachtoffer te vertellen dat ze zijn geïnfecteerd met ransomware, en zegt dat ze een contactadres moeten sturen om te onderhandelen een losgeldbetaling. De notitie waarschuwt slachtoffers om geen contact op te nemen met de politie, de FBI of de autoriteiten, en ook niet om contact op te nemen met een cyberbeveiligingsbedrijf – er wordt gesuggereerd dat als het slachtoffer dit doet, ze hun gegevens niet terugkrijgen.
Maar de cybercriminelen achter Yanluowang gaan nog verder met hun dreigementen en suggereren dat als het slachtoffer hulp van buitenaf inschakelt, ze DDoS-aanvallen op het slachtoffer zullen lanceren – hun websites overstromen met zoveel verkeer dat ze crashen – en ze telefoneert naar medewerkers en zakenpartners. Ze suggereren ook dat als het slachtoffer niet meewerkt, ze terugkomen met extra aanvallen of zelfs de versleutelde gegevens verwijderen, zodat ze voor altijd verloren zijn.
“Het is moeilijk te zeggen of dit een echte bedreiging is. Het is echter zeker in lijn met wat we zien van andere ransomware-actoren die zich bedreigd lijken te voelen door slachtoffers die de politie inschakelen of informatie delen met derden,” Dick O' Brien, hoofdredacteur bij Symantec, vertelde ZDNet.
Het is nog steeds onduidelijk hoe de cybercriminelen toegang hebben gekregen tot het netwerk, maar onderzoekers ontdekten de aanval na het identificeren van verdacht gebruik van AdFind, een legitieme opdrachtregel in de Active Directory-querytool.
Deze tool wordt vaak misbruikt door ransomware-aanvallers en wordt gebruikt als verkenningstechniek om Active Directory te misbruiken en aanvullende manieren te vinden om zich in het geheim door het netwerk te verplaatsen, met als uiteindelijk doel het inzetten van ransomware.
In dit geval probeerden de aanvallers ransomware in te zetten slechts enkele dagen nadat de verdachte activiteit was geïdentificeerd – en uiteindelijk werd de poging tot ransomware-aanval voorkomen omdat de verklikkersignalen van een aanval waren herkend en geblokkeerd.
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 