Witold Kepinski - 30 juni 2022

Hoe kan een ransomware groepering zoveel slachtoffers maken?

Hoe kan een ransomware groepering zoveel slachtoffers maken? image

Op 28 Juni kwam er een persbericht uit dat Artis geraakt was door ransomware en dat er een miljoen Euro ransomware bail te betalen in bitcoin werd geeist. Voor een dierentuin die nog aan het herstellen is van de Corona lockdowns is dat erg veel geld en de kans dat ze het gaan betalen is erg klein. Het is verder niet bekend gemaakt om welke ransomware groepering het gaat. Aangezien het meestal tussen de 3 en de 7 dagen duurt eer een ransomware groepering hun slachtoffer exposed op de shame en blame pagina’s zal het nog wel een paar dagen duren voordat er bekend word over welke groepering het gaat.

Volgens Erik Westhovens, oprichter van Ransomwared is het met name bij Karakurt lastig om vast te stellen of het om deze groepering gaat omdat ze het op hun bail pagina’s niet bekend maken. "Daarnaast zijn alleen op woensdag 29 Juni maar liefst 31 nieuwe slachtoffers bekend geworden die door een ransomware aanval van Karakurt getroffen zijn. De grote vraag die nu ontstaat is: Hoe kan het dat een ransomware groepering die normaal 5 tot 10 slachtoffers maakt opeens 31 slachtoffers maakt op 1 dag?"

Het antwoord is veel simpeler dan gedacht en ook meteen heel schrikbarend, vindt Westhovens: "Karakurt maakt net als een paar andere groeperingen misbruik van een oude bekende in een nieuw jasje. Qbot oftewel Qakbot. Gebruikers krijgen via email een word of excell bestand toegestuurd wat ogenschijnlijk met een digital signature is beschermd. Om het document te lezen moeten ze in Office op een optie klikken die het content ontsluit. Het bestand maakt dan een connectie naar een Qbot c2 servers waar de payload word gedownload en op het apparaat van de gebruiker word geactiveerd. De payload installeert dan een bestandje en met behulp van regsvr32 en curl word het bestandje als een hidden service toegevoegd en is het device geïnfecteerd. Daarna word er een connectie gemaakt naar een cobaltstrike C2 server waarvandaan de aanval gestart word."

Het grote probleem in cybersecurity land is dat dit bijna niet te detecteren is en bestaand xdr en antivirus er geen signaal op afgeeft waardoor de infectie ongemerkt blijft en zich makkelijk kan verspreiden. "Met behulp van custom detection rules zijn er wel mogelijkheden om het te detecteren,m aar voor de meeste bedrijven, en zeker in het MKB ontbreekt het aan de kennis om deze rules goed te implementeren. Er staat ons nog wat naar nieuws te wachten de komende paar weken zolang we geen goed antwoord hebben op deze methode", aldus Erik Westhovens.

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024