Ransomware in opmars

Ransomware: methodes van verspreiding

Vandaag zie ik terug meerdere klanten die zich laten vangen door Phishing. Phishing is een vorm van oplichting door valse e-mails, websites of berichten. Deze berichten of e-mails hebben tot doel misbruik te maken van je vertrouwen, nieuwsgierigheid of bangheid, het lijken onschuldige e-mails die je vragen om door te klikken op een link, een bijlage te openen of om persoonlijke gegevens te verifiëren en deze door te sturen. Soms zijn deze in een andere taal, dan kan je deze zo al herkennen. Iedereen kent deze mails en iedereen zegt deze e-mails te herkennen en te verwijderen, niks is minder waar. Gewoon omdat het in onze geaardheid ligt en we nieuwsgierig zijn klikken we ze open. Niet doen natuurlijk. Maar ja, reeds honderden keer heb ik dit gehoord en reeds honderden keer heb ik klanten gezien die er toch zijn inlopen. Ikzelf krijg elke dag van die mails of berichten. Hetzelfde met telefoonoproepen van bvb Microsoft, Banken, Dienstverleners (Telenet, Orange, Proximus…). Mensen laat jullie niet vangen, deze grote bedrijven doen dit niet. De meest voorkomende “Microsoft” is steeds in het “Engels” voor zover al verstaanbaar, gooi gewoon de telefoon dicht, je zal nog verschillende keren worden opgebeld (omdat je in de lijst staat). Gewoon negeren.

Ga naar Safe On Web voor meer info.

Nuttige links:

Cybercrime Info
Malwarebytes Anti-Ransom Beta
RansomOff
Kaspersky Anti-Ransomware Tool

Nieuwste en gevaarlijkste malware: EMOTET

De Trojan ‘Emotet Banking’ werd voor het eerst geïdentificeerd door beveiligingsonderzoekers in 2014. Emotet was oorspronkelijk ontworpen als bank-malware die probeerde op uw computer te sluipen en gevoelige en privé-informatie te stelen. In latere versies van de software werden spamming en malware-bezorgservices toegevoegd, inclusief andere bank-Trojaanse paarden.

Emotet gebruikt de functionaliteit die software helpt om detectie door sommige anti-malwareproducten te ontwijken. Emotet gebruikt wormachtige mogelijkheden om de verspreiding naar andere verbonden computers te bevorderen. Dit helpt bij de verspreiding van de malware. Deze functionaliteit heeft het Department of Homeland Security ertoe gebracht te concluderen dat Emotet een van de meest kostbare en destructieve malware is, die overheids- en privésectoren, individuen en organisaties treft en tot $ 1M per incident kost om op te ruimen.

Wat is Emotet?

Emotet is een trojan die voornamelijk wordt verspreid via spam-e-mails (malspam). De infectie kan aankomen via een kwaadaardig script, macro-compatibele documentbestanden of een kwaadaardige link. Emotet-e-mails kunnen Logo’s van bekende bedrijven bevatten die is ontworpen om op een legitieme e-mail te lijken. Emotet kan proberen gebruikers te overhalen om op de kwaadaardige bestanden te klikken door verleidelijke taal te gebruiken over ‘Uw factuur’, ‘Betalingsgegevens’ of mogelijk een aankomende verzending van bekende pakketbedrijven. Emotet heeft een aantal iteraties ondergaan. Vroege versies zijn aangekomen als een schadelijk JavaScript-bestand. Latere versies zijn geëvolueerd om macro-compatibele documenten te gebruiken om de virus betalingen (innen van de gevraagde bedragen door het virus) van command and control (C&C) servers van de aanvallers op te halen. Emotet gebruikt een aantal trucs om detectie en analyse te voorkomen. Emotet weet met name of het in een virtuele machine (VM) draait en zal inactief blijven als het een sandbox-omgeving detecteert, een tool die cybersecurity-onderzoekers gebruiken om malware te observeren in een veilige, gecontroleerde ruimte.Emotet gebruikt ook C&C servers om updates te ontvangen. Dit werkt op dezelfde manier als de updates van het besturingssysteem op uw pc en kan naadloos en zonder uiterlijke tekenen gebeuren. Hiermee kunnen de aanvallers bijgewerkte versies van de software installeren, aanvullende malware installeren, zoals andere bank-Trojaanse paarden, of fungeren als een stortplaats voor gestolen informatie zoals financiële gegevens, gebruikersnamen en wachtwoorden en e-mailadressen.

Hoe verspreidt Emotet zich?

De primaire distributiemethode voor Emotet is via malspam. Emotet doorzoekt uw contactenlijst en stuurt zichzelf naar uw vrienden, familie, collega’s en klanten. Aangezien deze e-mails afkomstig zijn van uw gekaapte e-mailaccount, lijken de e-mails minder op spam en voelen de ontvangers zich veiliger en zijn ze vlugger geneigd op slechte URL’s te klikken en geïnfecteerde bestanden te downloaden. Als er een verbonden netwerk aanwezig is, verspreidt Emotet zich met behulp van een lijst met veel voorkomende wachtwoorden en raadt het zijn weg naar andere verbonden systemen in een brute-force aanval. Als het wachtwoord voor de allerbelangrijkste HR-server simpelweg ‘wachtwoord’ is, dan zal Emotet waarschijnlijk zijn weg daarnaartoe vinden. Onderzoekers dachten aanvankelijk dat Emotet zich ook verspreidde met behulp van de EternalBlue / DoublePulsar-kwetsbaarheden, die verantwoordelijk waren voor de WannaCry- en NotPetya-aanvallen. We weten nu dat dit niet het geval is. Wat onderzoekers tot deze conclusie leidde, was het feit dat TrickBot, een Trojan die vaak door Emotet wordt verspreid, gebruikmaakt van de EternalBlue-exploit om zichzelf over een bepaald netwerk te verspreiden. Het was TrickBot, niet Emotet, die profiteerde van de EternalBlue / DoublePulsar-kwetsbaarheden.