Ransomware LockBit automatiseert de afpersingsaanval
Zowel McAfee als Sophos kwam vorige week met een rapport over deze nieuwe ransomware. Daarin lijken alle nieuwe technieken voor infectie, verspreiding, versleuteling en tot slot afpersing te zijn toegepast. Zo omzeilt deze malware niet alleen de beschermende functionaliteit User Account Control (UAC) van Windows. Lockbit brengt cybercriminelen ook innovatie voor de voorheen arbeidsintensieve zoektocht naar de meest waardevolle bestanden om te versleutelen; die zoektocht wordt geautomatiseerd uitgevoerd.
Tijdwinst voor cybercriminelen
Dit scheelt de aanvallers veel tijd en werk. Zij zijn soms al weken aanwezig in de systemen van hun slachtoffers voordat ze overgaan tot het daadwerkelijke versleutelen van kostbare data, om dan losgeld te eisen. Al die tijd lopen ze risico van detectie, waarmee de hele aanval teniet gedaan kan worden. Immers, geen of incomplete versleuteling van bestanden plus backups betekent geen succesvolle ransomware-aanval. Met LockBit kan dit hele proces nu in een paar uur worden uitgevoerd. Daarmee is de mogelijkheid van tijdige detectie ook sterk verminderd.
LockBit heeft tot nu toe vooral slachtoffers gemaakt in de Verenigde Staten, Groot-Brittannië, Frankrijk, Duitsland en India, maar ook Nederland is nu aan de beurt. Zo meldt de Volkskrant dat Van der Helm Logistics in februari door deze ransomware werd getroffen. Daarbij werden de bestanden op 20 servers en 200 pc’s versleuteld. Ook de backups ondergingen dit lot. Via een bruteforce-aanval verkregen de aanvallers de inloggegevens van de beheerder en hadden ze zo toegang tot het bedrijfsnetwerk. Een actuele backup bleek niet aanwezig en alles opnieuw opbouwen zou te duur worden, dus betaalde Van der Helm losgeld.
Boete voor datalek
Net als de al langer bestaande ransomware Maze en REvil dreigt LockBit met de publicatie van persoonsgegevens die bij het slachtoffer zijn opgeslagen, als er niet wordt betaald. Dan is er sprake van een datalek, wat tot grote boetes van toezichthouders kan leiden voor het gehackte slachtoffer. Dus zelfs als er goede backups zijn, of als het 'tijdsverlies' van oudere bestanden wordt geaccepteerd, is er nog een pressiemiddel wat de digitale afpersers kunnen inzetten.
Een andere nieuwe eigenschap van LockBit is dat vóór het starten van de dataversleuteling nog wordt gecheckt of de datagijzeling wel door moet gaan. Daarvoor maakt de ransomware verbinding met een server die al onder controle staat van de aanvaller en bepaalt het aan de hand van het IP-adres van het gehackte systeem waar zich dit precies bevindt. Staat deze computer qua IP-adres in Rusland of een land dat bij het GOS (Gemenebest van Onafhankelijke Staten, verbond van voormalige Sovjet-staten) is aangesloten, dan stopt de aanval.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee