WastedLocker: een complexe ransomware-variant die zich richt op grote bedrijven

Ransomware is een soort kwaadaardige software die is ontworpen om bestanden op een computer of systeem te vergrendelen totdat er losgeld is betaald. Een van de eerste ransomwares die ooit werd gedocumenteerd, was de PC Cyborg uit 1989, die een schamele losgeld van $ 189 eiste om vergrendelde bestanden te decoderen.

Computertechnologie heeft sinds 1989 een lange weg afgelegd en ransomware is mee geëvolueerd, wat heeft geleid tot complexe en krachtige varianten zoals WastedLocker. Dus hoe werkt WastedLocker? Wie is er door getroffen? En hoe kunt u uw apparaten beschermen?

Wat is WastedLocker en hoe werkt het?

WastedLocker werd voor het eerst ontdekt begin 2020 en wordt beheerd door de beruchte hackersgroep Evil Corp, die ook bekend staat als INDRIK SPIDER of de Dridex-bende, en hoogstwaarschijnlijk banden heeft met Russische inlichtingendiensten.

Het Office of Foreign Assets Control van het Amerikaanse ministerie van Financiën heeft in 2019 sancties uitgevaardigd tegen Evil Corp en het ministerie van Justitie heeft zijn vermeende leider Maksim Yakubets aangeklaagd, die de groep heeft gedwongen van tactiek te veranderen.

WastedLocker-aanvallen beginnen meestal met SocGholish, een Remote Access Trojan (RAT) die browser- en Flash-updates imiteert om het doelwit te misleiden tot het downloaden van schadelijke bestanden.

VERWANT: Wat is een trojan voor externe toegang?

Zodra het doelwit de nep-update downloadt, versleutelt WastedLocker effectief alle bestanden op hun computer en voegt ze toe met "verspild", wat een knipoog lijkt te zijn naar internetmemes geïnspireerd door de Grand Theft Auto-videogame serie.

Dus, bijvoorbeeld, een bestand dat oorspronkelijk "muo.docx" heette, zou verschijnen als "muo.docx.wated" op een gecompromitteerde computer.

Om bestanden te vergrendelen, gebruikt WastedLocker een combinatie van Advanced Encryption Standard (AES) en Rivest-Shamir-Adleman (RSA) encryptie-algoritmen, die decryptie vrijwel onmogelijk maken zonder Evil De privésleutel van Corp.

Het AES-coderingsalgoritme wordt gebruikt door financiële instellingen en overheden, de National Security Agency (NSA) bijvoorbeeld gebruikt het om uiterst geheime informatie te beschermen.

Vernoemd naar drie wetenschappers van het Massachusetts Institute of Technology (MIT) die het voor het eerst publiekelijk beschreven in de In de jaren 70 is het RSA-coderingsalgoritme aanzienlijk langzamer dan AES en wordt het meestal gebruikt om kleine hoeveelheden gegevens.

WastedLocker laat een losgeldbrief achter voor elk bestand dat het versleutelt, en geeft het slachtoffer opdracht contact op te nemen met de aanvallers. Het bericht bevat meestal een Protonmail-, Eclipso- of Tutanota-e-mailadres.

De losgeldnota's zijn meestal aangepast, vermelden de doelorganisatie bij naam en waarschuwen tegen contact met de autoriteiten of het delen van de contact-e-mails met derden.

De malware is ontworpen om zich op grote bedrijven te richten en eist meestal losgeld tot $ 10 miljoen.

De spraakmakende aanvallen van WastedLocker

In juni 2020, Symantec ontdekte 31 WastedLocker-aanvallen op Amerikaanse bedrijven. De overgrote meerderheid van de beoogde organisaties waren grote bekende namen en 11 waren Fortune 500-bedrijven.

De ransomware was gericht op bedrijven in verschillende sectoren, waaronder productie, informatietechnologie en media en telecommunicatie.

Evil Corp heeft de netwerken van gerichte bedrijven doorbroken, maar Symantec slaagde erin te voorkomen dat de hackers WastedLocker inzetten en gegevens vasthielden voor losgeld.

Het werkelijke totale aantal aanvallen kan veel hoger zijn omdat de ransomware werd ingezet via tientallen populaire, legitieme nieuwssites.

Onnodig te zeggen dat bedrijven die miljarden dollars waard zijn, uitstekende bescherming hebben, wat boekdelen zegt over hoe gevaarlijk WastedLocker is.

Diezelfde zomer zette Evil Corp WastedLocker in tegen het Amerikaanse GPS- en fitness-trackerbedrijf Garmin, dat naar schatting een jaarlijkse omzet van meer dan $ 4 miljard heeft.

Als het Israëlische cyberbeveiligingsbedrijf Votiro destijds opgemerkt, de aanval verlamde Garmin. Het verstoorde veel van de diensten van het bedrijf en had zelfs effect op callcenters en sommige productielijnen in Azië.

Garmin betaalde naar verluidt 10 miljoen dollar losgeld om weer toegang te krijgen tot zijn systemen. Het kostte het bedrijf dagen om zijn diensten operationeel te krijgen, wat vermoedelijk enorme financiële verliezen veroorzaakte.

Hoewel Garmin blijkbaar dacht dat het betalen van het losgeld de beste en meest efficiënte manier was om de situatie aan te pakken, is het belangrijk op te merken dat men cybercriminelen nooit mag vertrouwen - soms hebben ze geen reden om een ​​decoderingssleutel te verstrekken nadat ze het losgeld hebben ontvangen betaling.

Over het algemeen is de beste manier om in het geval van een cyberaanval direct contact op te nemen met de autoriteiten.

Trouwens, regeringen over de hele wereld leggen sancties op aan hackersgroepen, en soms deze sancties gelden ook voor personen die een losgeldbetaling indienen of faciliteren, dus er zijn ook juridische risico's voor overwegen.

Wat is Hades-variant Ransomware?

In december 2020 ontdekten beveiligingsonderzoekers een nieuwe ransomware-variant genaamd Hades (not to be verward met de Hades Locker uit 2016, die meestal via e-mail wordt geïmplementeerd in de vorm van een MS Word hechting).

Een analyse van CrowdStrike ontdekte dat Hades in wezen een 64-bits gecompileerde variant van WastedLocker is, maar identificeerde een aantal belangrijke verschillen tussen deze twee malwarebedreigingen.

In tegenstelling tot WastedLocker laat Hades bijvoorbeeld geen losgeldbriefje achter voor elk bestand dat het versleutelt, maar creëert het een enkel losgeldbriefje. En het slaat de belangrijkste informatie op in versleutelde bestanden, in plaats van het op te slaan in de losgeldbrief.

De Hades-variant laat geen contactgegevens achter; het leidt slachtoffers in plaats daarvan naar een Tor-site, die is aangepast voor elk doelwit. Op de Tor-site kan het slachtoffer één bestand gratis decoderen, wat duidelijk een manier is voor Evil Corp om aan te tonen dat zijn decoderingstools echt werken.

Hades heeft zich voornamelijk gericht op grote organisaties in de VS met een jaaromzet van meer dan $ 1 miljard, en de inzet ervan markeerde weer een nieuwe creatieve poging van Evil Corp om te rebranden en te ontwijken sancties.

Hoe te beschermen tegen WastedLocker

Met het toenemend aantal cyberaanvallen, investeren in ransomware beschermingstools is een absolute aanrader. Het is ook absoluut noodzakelijk om de software op alle apparaten up-to-date te houden om te voorkomen dat cybercriminelen misbruik maken van bekende kwetsbaarheden.

Geavanceerde ransomware-varianten zoals WastedLocker en Hades hebben de mogelijkheid om zijwaarts te bewegen, wat betekent dat ze toegang kunnen krijgen tot alle gegevens op een netwerk, inclusief cloudopslag. Daarom is het onderhouden van een offline back-up de beste manier om belangrijke gegevens te beschermen tegen indringers.

Aangezien werknemers de meest voorkomende oorzaak van inbreuken zijn, moeten organisaties tijd en middelen investeren in het opleiden van personeel over elementaire beveiligingspraktijken.

Uiteindelijk is het implementeren van een Zero Trust-beveiligingsmodel misschien wel de beste manier om een ​​organisatie te verzekeren is beschermd tegen cyberaanvallen, inclusief die van Evil Corp en andere door de staat gesponsorde hacker groepen.

Wat is een Zero Trust Network en hoe beschermt het uw gegevens?

Wilt u uw bedrijf beschermen tegen cybercriminelen? VPN's zijn geweldig, maar ze zijn misschien niet zo effectief als ZTN's met softwaregedefinieerde perimeters.

Lees volgende

Over de auteur