Cybercriminelen chatten met ransomware slachtoffers

Cybercriminelen achter de Jigsaw ransomware bieden slachtoffers de mogelijkheid rechtstreeks contact op te nemen met hun afpersers. De aanvallers beantwoorden via chatkanalen vragen van slachtoffers, geven instructies voor het betalen van losgeld en maken het mogelijk te onderhandelen over de hoogte van het losgeld.

Dit meldt beveiligingsbedrijf Trend Micro. Jigsaw is een vorm van ransomware die begin 2016 voor het eerst opdook. De ransomware valt vooral op door de dreigementen die de aanvallers uiten. Zo dreigen de aanvallers alle versleutelde data permanent te vernietigen indien slachtoffers proberen de ransomware onschadelijk te maken. Wordt daarnaast niet binnen het opgegeven termijn van 24 uur betaald? Dan wordt het geëiste losgeld verdubbeld.

Het scherm dat de Jigsaw ransomware aan slachtoffers toont (bron: Trend Micro)

Chatten met cybercriminelen

Deze werkwijze hanteren de aanvallers ook in de meest recente versie van Jigsaw. Nieuw in deze versie is de mogelijkheid via chat contact op te nemen met de aanvallers. Hiervoor maken de aanvallers gebruik van onWebChat, een vrij beschikbaar chatplatform. Dit platform is via een script geëmbed in een webpagina, waar slachtoffers naar worden doorverwezen.

Trend Micro nam de proef op de som en deed zich voor als een werknemers wiens zakelijke PC is geïnfecteerd met Jigsaw. Het bedrijf heeft op zijn blog een transcript gepubliceerd van dit gesprek. In het gesprek lijkt de cybercrimineel waarmee wordt gesproken het slachtoffers gerust te willen stellen dat zijn data na betaling daadwerkelijk wordt ontsleuteld. Daarnaast blijkt het mogelijk te onderhandelen over de hoogte van het losgeld.

Timer resetten

Opvallend is dat de cybercriminelen niet precies weten wanneer een slachtoffers besmet is geraakt met de ransomware. Dit is opvallend, aangezien de cybercriminelen dreigen het losgeld te verhogen indien slachtoffers niet tijdig betalen. Slachtoffers wordt een timer getoond die hen 24 uur de tijd geeft tot betaling over te gaan. In de praktijk blijkt deze timer te zijn gekoppeld aan een cookie. Wie deze cookie verwijdert reset hiermee de timer tot 24 uur.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *