Nieuwe ransomware versleutelt harde schijf en overschrijft MBR

malware

Een nieuwe vorm van ransomware versleutelt de volledige harde schijf en overschrijft de Master Boot Record (MBR) van de harde schijf om te voorkomen dat een geïnfecteerde machine nog kan opstarten. Daarnaast wordt ook alle data op aangesloten netwerkschijven door de ransomware versleuteld.

Hiervoor waarschuwt beveiligingsbedrijf Trend Micro, dat de ransomware HDDCryptor noemt. De kwaadaardige software wordt op verschillende manieren verspreid. Zo wordt de malware geserveerd via kwaadaardige websites, maar proberen cybercriminelen ook via al aanwezige malware op systemen de ransomware in te laden.

Netwerkschijven

Zodra de ransomware zich in een systeem heeft genesteld gaat de software op zoek naar netwerkschijven. Alle data op aangesloten netwerkschijven wordt direct versleuteld. Daarnaast probeert de ransomware inloggegevens van netwerkschijven waarmee eerder verbinding is geweest te achterhalen, zodat het zelf toegang kan krijgen tot deze schijven en ook hier data kan versleutelen.

Daarnaast versleutelt de ransomware de harde schijf met behulp van de software DiskCryptor. Deze open source tool wordt daarnaast ingezet om de MBR van de harde schijf te overschrijven. De machine kan hierdoor niet langer opstarten. Het systeem toont alleen nog een mededeling dat de harde schijf versleuteld is en geeft aanwijzigingen hoe slachtoffers in contact kunnen komen met de aanvallers.

Decryptiesleutel

Trend Micro wijst er overigens op dat de ransomware op alle besmette machines hetzelfde malware-id hanteert. Het beveiligingsbedrijf vermoedt dan ook dat er één decryptiesleutel beschikbaar is om alle geïnfecteerde systemen te ontsleutelen. Deze decryptiesleutel is vooralsnog echter niet gevonden, wat het ontsleutelen van geïnfecteerde systemen nagenoeg onmogelijk maakt.

Lees ook
Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers

Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers

Onderzoekers van Proofpoint nemen sinds kort nieuwe activiteit waar van de aan Iran gelinkte dreigingsactor TA450. Deze dreigingsactor is ook bekend als MuddyWater, Mango Sandstorm en Static Kitten.

Drie trends voor cyberaanvallen in 2024

Drie trends voor cyberaanvallen in 2024

Allianz: in België blijven Cyberincidenten (bijv. cybercriminaliteit, verstoringen van IT-netwerken en -diensten, malware/ransomware, datalekken, boetes en straffen) het nummer één risico sinds 2018. In Nederland klommen Cyberincidenten vier posities naar de tweede plaats.

DataExpert kondigt overname Avian Digital Forensics aan

DataExpert kondigt overname Avian Digital Forensics aan

DataExpert kondigt de overname aan van Avian Digital Forensics, een Deens bedrijf gespecialiseerd in digitale recherche- en eDiscovery-technologieën. Met de overname van Avian versterkt DataExpert zijn aanwezigheid in de Scandinavische landen.