Windowscomputers aangevallen met Linux-ransomware

[Captain Kirk]

Criminelen maken gebruik van Linux-ransomware voor het versleutelen van Windowscomputers, zo meldt antivirusbedrijf Trend Micro. De aanvallen zijn het werk van een ransomwaregroep genaamd Qilin, die volgens de virusbestrijder dit jaar al 700 organisaties in 62 landen succesvol heeft aangevallen. De meeste slachtoffers bevinden zich in de Verenigde Staten, Frankrijk, Canada en het Verenigd Koninkrijk.

De aanvallers maken gebruik van drie technieken om toegang tot de systemen van hun slachtoffers te krijgen. Het gaat om spear phishing, geldige inloggegevens, die bijvoorbeeld eerder zijn gestolen of via een bruteforce-aanval zijn achterhaald, en fake captcha's. Trend Micro identificeerde meerdere getroffen organisaties waar medewerkers in een malafide captcha waren getrapt. De captcha's stellen dat de gebruiker een commando op het systeem moet uitvoeren om te bewijzen dat hij geen robot is. In werkelijkheid wordt zo malware op het systeem geïnstalleerd.

Zodra er toegang tot een systeem is verkregen past de ransomwaregroep de bij dit soort aanvallen gebruikelijke stappen toe, waarbij wordt geprobeerd om de rechten te verhogen en zich lateraal door het systeem te bewegen, totdat men bijvoorbeeld domain administrator is. Vervolgens wordt er data gestolen en als laatste de ransomware uitgerold. De Qilin-groep maakt sinds enige tijd ook gebruik van Linux-ransomware op Windowssystemen.

Door deze werkwijze weten de aanvallers endpoint detectiesystemen te omzeilen die niet geconfigureerd zijn om het uitvoeren van Linux binaries via remote management tools tegen te gaan, aldus Trend Micro. Voor het uitvoeren van de Linux-ransomware op Windowssystemen maken de aanvallers gebruik van de remote management software van Splashtop, waarmee het mogelijk is om systemen op afstand te beheren.

"De geavanceerde mogelijkheden van de Liunux-variant, gecombineerd met cross-platform uitrol via Splashtop Remote, vormt een aanzienlijk tactische evolutie gericht op hybride infrastructuur-omgevingen", zo stellen de onderzoekers. Zodra de aanval is afgerond laten de aanvallers een notitie achter waarin staat dat de organisatie moet betalen om openbaarmaking van de gestolen data te voorkomen. Voor de onderhandelingen over het losgeld bevat de notitie specifieke inloggegevens waarmee de getroffen organisatie op een communicatieportaal van de aanvallers kan inloggen.

 

bron: https://www.security.nl