2019 was het jaar van de Ransomeware aanvallen. Maar de serie van aanvallen eindigt niet met het begin van het nieuwe jaar.

In maart 2016 werden er voor het eerst kwaadaardige spamcampagnes en exploitkits verspreid onder de naam “Ransom.Cryptomix” – de naam bevat een combinatie van de Ransomeware-programma’s CryptXXX en CryptoWall.

“Ransom.Cryptomix” kan de uitvoering van antivirusprogramma’s en andere beveiligingsfuncties van Microsoft Windows voorkomen en gebruikt dit om losgeld te eisen. Tijdens de encryptiefase kan de ransomware op de achtergrond zijn gang gaan, zonder dat het slachtoffer sporen van infectie kan detecteren. Zodra een systeem of computer is geïnfecteerd met deze kwaadaardige toepassing, worden de computers versleuteld en wordt er losgeld geëist, dat moet worden betaald om het systeem van het slachtoffer te “bevrijden”.

Een ransomewarevariant genaamd Clop is sinds februari 2019 opnieuw in omloop gebracht met dezelfde kenmerken als de versie van 2016.

Het echte doel van Clop Ransomware is niet de individuele computer, maar het netwerk. Aanvallers moesten dus hun strategie en tactiek veranderen om hun doel te bereiken. Met een nieuwe en geïntegreerde process destroyers richt de malware zich sinds maart 2019 op Windows 10-toepassingen, tekstverwerkers, ontwikkelaarsomgevingen, programmeertalen en Office-toepassingen. De verbeterde Clop Ransomware begon met het uitschakelen van diensten voor Microsoft Exchange, Microsoft SQL Server, MySQL, BackupExec en andere bedrijfssoftware.
Om er zeker van te zijn dat de slachtoffers begrijpen dat de aanvallers een heel netwerk kunnen besmetten en niet alleen individuele pc’s, werd het bedrag van het losgeld naar boven bijgesteld.

Bron: www.bleepingcomputer.com

Een groep hackers die bekend staat als TA505 ontdekte dat na het compromitteren van een netwerk, vergelijkbaar met Ryuk, BitPaymer en DoppelPaymer, de Clop Ransomware het middel bij uitstek was voor netwerkbrede encryptie.

In november 2019 brachten de aanvallers een nieuwe variant uit die probeerde Windows Defender op lokale computers uit te schakelen, zodat het niet zou worden gedetecteerd door toekomstige signature-updates. Ook bedrijven in Nederland en Frankrijk waren het doelwit van de aanvallers. In december bleek uit onderzoek dat de Universiteit van Maastricht (MU) besmet was met de Clop Ransomware.

Clop is in staat om meer dan 650 processen te beëindigen

Enkele van de essentiële processen die worden beëindigd, schijnbaar zonder aanwijsbare oorzaak, zijn: Android Debug Bridge, Notepad++, alles, Tomcat, SnagIt, Bash, Visual Studio, Microsoft Office applicaties, evenals programmeertalen zoals Python en Ruby, de SecureCRT terminal applicatie, de Windows calculator, en zelfs de nieuwe Windows 10 Your Phone app.

·         ACROBAT.EXE ·         PYTHON.EXE
·         ADB.EXE ·         QEMU-GA.EXE
·         CODE.EXE ·         RUBY.EXE
·         CALCULATOR.EXE ·         SECURECRT.EXE
·         CREATIVE CLOUD.EXE ·         SKYPEAPP.EXE
·         ECLIPSE.EXE ·         SNAGIT32.EXE
·         EVERTHING.EXE ·         TOMCAT7.EXE
·         JENKINS.EXE ·         UEDIT32.EXE
·         MEMCACHED.EXE ·         WINRAR.EXE
·         MICROSOFTEDGE.EXE ·         WINWORD.EXE
·         NOTEPAD++-EXE ·         YOURPHONE.EXE
·         POWERPNT.EXE

Ransomeware blijkt zeer lucratief te zijn voor aanvallers

Steeds vaker reageren bedrijven op losgeldeisen na een infectie door het losgeld te betalen. Zulke successen betekenen dat hackersgroepen meer tijd zullen investeren om hun aanvalsmethoden en -strategieën verder te ontwikkelen en het dreigingsniveau constant te houden.

Zodra hackers ontdekken dat een bedrijf een zwakke IT-infrastructuur heeft, zijn ze winstgevend omdat deze met weinig moeite besmet kunnen worden met malware. Een sterke IT-omgeving vereist meer werk voor de hacker, wat inefficiënt is en veel tijd kost. Daarom is het voor ieder bedrijf een must, een uitgebreide cybersecuritystrategie te implementeren en deze zo snel mogelijk uit te voeren om geen doelwit te worden.