Wouter Hoeffnagel - 15 februari 2019

Ransomware GandCrab actief verspreid op Valentijnsdag

Op Valentijnsdag bloeit overal ter wereld de liefde op, maar de romantische gevoelens hebben ook ongewenste bijeffecten. Voor sommigen eindigde de dag van de liefde zelfs in een besmetting - met ransomware welteverstaan. Uit onderzoek van Mimecast blijkt dat cybercriminelen Valentijnsdag aangrepen om de ransomware GandCrab te verspreiden.

GandCrab bestaat nu iets langer dan een jaar. In relatief korte tijd is het uitgegroeid tot een zeer succesvolle ransomwarevariant. Opvallend is dat GandCrab Russische slachtoffers kan herkennen - en de besmetting kan stopzetten als zij een Russisch ingesteld toetsenbord hebben. Dit wijst erop dat deze campagnes specifiek zijn opgezet om Russische gebruikers niet te infecteren.

Slachtoffers zien na de besmetting tekstbestanden op hun bureaublad verschijnen. Daarin valt te lezen dat de extensies van hun bestanden zijn gewijzigd naar een willekeurig type. Elk tekstbestand bevat ook een unieke URL die hoogstwaarschijnlijk wordt gebruikt om het slachtoffer te identificeren.

Inspelen op Valentijnsdag

Het onderzoek toont aan dat de mensen achter GandCrab - of de cybercriminelen die GandCrab gebruiken als Ransomware-as-a-Service (RaaS) - Valentijnsdag hebben aangewend om toe te slaan. Een van de populairste aanvalsvectoren voor GandCrab is besmetting via een e-mailbijlage. Mimecast detecteerde verschillende soorten GandCrab-mails met een romantische zin als onderwerp:

  • 'This is my love letter to you'
  • 'Wrote my thoughts down about you'
  • 'My letter just for you'
  • 'Felt in love with you'

Losgeld

Het betalen van losgeld is zeer eenvoudig. Via de URL worden slachtoffers stap voor stap begeleid, zodat er zoveel mogelijk mensen daadwerkelijk tot betaling overgaan. Het onderzoek van Mimecast bevestigt dat de aanvallers bitcoins en Dash-cryptogeld eisen in ruil voor de decryptiesleutel. Er zijn grote verschillen in het losgeld dat betaald moet worden om weer toegang te krijgen tot bestanden.

mimecast-gandcrab-ransomware.png

Mimecast verwacht dat de groep achter GandCrab de code in het komende jaar blijft updaten, waarbij ze de werking continu verbeteren en nieuwe functionaliteiten toevoegen. Daarnaast wordt GandCrab in de markt gezet als RaaS, om zo de opbrengsten van de ransomwarevariant verder te verhogen.

Rapport

Meer informatie over de GandCrab-aanvallen en andere trucs die cybercriminelen toepassen om mensen op Valentijnsdag het leven zuur te maken zijn te vinden in het threat intelligence-rapport van het Mimecast Threat Labs-team. Bekijk ook het blog van Mimecast.

Axians 12/11/2024 t/m 26/11/2024 BN+BW