IoT-botnet vernietigt alle bestanden door fout bij ransomware-aanval

[Captain Kirk]

Onderzoekers hebben een Internet of Things-botnet ontdekt dat naast bruteforce- en ddos-aanvallen ook wordt gebruikt voor de verspreiding van ransomware. Door een fout in de implementatie krijgen slachtoffers pas nadat al hun bestanden zijn vernietigd de instructies en losgeldeisen te zien. Dat laat securitybedrijf Cyble weten.

Het botnet in kwestie is een variant van de bekende Mirai-malware. Deze malware infecteert routers, ip-camera's en IoT-apparaten en gebruikt die voor allerlei aanvallen. Vaak gaat het dan om ddos-aanvallen. Het Mirai-botnet dat de onderzoekers ontdekten heeft het voorzien op Linux-systemen. Zodra er via een bruteforce-aanval toegang is verkregen wordt een malware-exemplaar genaamd Medusa uitgevoerd.

Deze malware verzamelt informatie over het systeem, zoals gebruikersnaam en platform. Medusa kan het besmette systeem ook voor ddos-aanvallen en bruteforce-aanvallen op andere systemen inzetten. Wat het botnet doet opvallen is de ransomware-functionaliteit. Eenmaal actief kan Medusa allerlei bestanden op het systeem versleutelen.

Nadat de bestanden zijn versleuteld gaat de malware 24 uur in slaapmodus, waarna het alle bestanden op de schijf verwijdert. Nadat de bestanden zijn vernietigd worden pas de instructies getoond waarin staat hoe het slachtoffer zijn data kan terugkrijgen en welk losgeldbedrag daarvoor betaald moet worden. Volgens Cyble is er dan ook sprake van een foute implementatie.

 

bron: https://www.security.nl