Nieuwe ransomware communiceert via Telegram
Een nieuwe vorm van ransomware blijkt de versleutelde communicatiedienst Telegram te gebruiken voor Command en Control (C&C)-verkeer. Het gaat om de ransomware Telecrypt, die voornamelijk Russische sprekende gebruikers aanvalt.
De ransomware is ontdekt door onderzoekers van Kaspersky Lab. Opvallend aan de ransomware is dat alle communicatie tussen de ransomware en de cybercriminelen achter Telecrypt verloopt via Telegram. Vooraf aan de infectie maken de cybercriminelen een ‘Telegram bot’ aan, die aan de ransomware wordt gekoppeld via een uniek ID die in de malware wordt opgenomen. Zodra de ransomware zich in een systeem heeft genesteld neemt de malware allereerst contact op met deze Telegram bot. Vervolgens verstuurt de malware allerlei informatie naar de bot, waaronder:
- de naam van de geïnfecteerde machine
- de ID van de infectie
- het nummer dat is gebruikt als basis om de encryptiesleutel te creëren
Bestanden gijzelen
Nadat deze informatie is afgeleverd gaat de ransomware op zoek naar bestanden om te versleutelen. De malware probeert alle Word- en Excel-documenten, JPG-, JPEG- en PNG-afbeeldingen, database bestanden (DBF) en PDF-documenten te gijzelen. Vervolgens wordt een grafische module gedownload, die wordt geladen en 5.000 roebel losgeld eist van slachtoffers die hun data weer toegankelijk willen maken.
Kaspersky Lab adviseert slachtoffers overigens nooit dit losgeld betalen. Getroffen gebruikers zouden contact op moeten nemen met hun systeembeheerder, zodat bijvoorbeeld een back-up kan worden teruggeplaatst indien deze beschikbaar is.
Meer over
Lees ook
Goede voorbereiding op ransomware cruciaal, meeste organisaties laten steken vallen
Zerto, een dochteronderneming van Hewlett Packard Enterprise (HPE), heeft de resultaten van een groot nieuw onderzoek naar ransomware bekend gemaakt. Hieruit komt naar voren dat bedrijven niet goed zijn voorbereid op een eventuele aanval, waardoor het opvangen en herstellen daarvan lastig is. Het onderzoek toont ook dat het tekort aan beveiligings1
Herstellen van een ransomware-aanval in vier stappen
Cybercriminelen zijn de afgelopen jaren steeds effectiever geworden in het timen van hun aanvallen: webwinkels tijdens Black Friday, overheidsinfrastructuren en ziekenhuizen tijdens een crisis. De opkomst van ransomware-as-a-service (RaaS) stelt cybercriminelen in staat om ransomware sneller, eenvoudiger en op grotere schaal in te zetten.
Rabobank bestrijdt groeiende ransomware-dreiging met Cloudian Object Storage
Rabobank zet Cloudian object storage in als onderdeel van de gelaagde verdediging tegen ransomware-aanvallen. In combinatie met Veeam back-up software kan Rabobank met Cloudian’s S3 Object Lock-oplossing kopieën van back-up data onveranderlijk maken, waardoor ze beschermd zijn tegen versleuteling of verwijdering door cybercriminelen.