Cybercriminelen zijn een nieuwe campagne begonnen waarbij ze websites van ministeries en energiebedrijven nabouwen om vervolgens via Google Drive en Yandex Disk ransomware te verspreiden. Het gaat om een campagne van de TorrentLocker-ransomware, die zich volgens het Japanse anti-virusbedrijf Trend Micro vooral op Britse internetgebruikers richt.

De aanval begint met een e-mail die van British Gas, het ministerie van Binnenlandse Zaken of het ministerie van Justitie afkomstig lijkt. In tegenstelling tot veel andere ransomware-aanvallen bevat de e-mail geen bijlage, maar een link die naar een overtuigende website wijst. Deze website lijkt een kopie van de originele website van het energiebedrijf of ministerie en stelt dat de gebruiker een captcha moet invoeren, bijvoorbeeld om zijn energierekening te bekijken.

De captcha wordt volgens de onderzoekers waarschijnlijk gebruikt om automatische analyse door anti-virusbedrijven en onderzoekers te voorkomen. Zodra de captcha is ingevuld wordt er er een zip-bestand gedownload. Werden deze zip-bestanden voorheen bij opslagdiensten als Sendspace, Mediafire en Copy.com opgeslagen, nu gebruiken de cybercriminelen Yandex Disk en Google Drive.

Voor het hosten van de afbeeldingen die in de e-mails worden gebruikt maken de criminelen gebruik van gehackte websites. Trend Micro ontdekte in totaal zo'n 800 gehackte domeinen waar de gebruikte afbeeldingen werden opgeslagen of die als redirect voor de link in de e-mails fungeerden. TorrentLocker was vorig jaar ook in Nederland actief en verspreidde zich via e-mails die van Intrum Justitia en PostNL afkomstig leken. Eenmaal actief op een computer versleutelt de ransomware allerlei bestanden voor losgeld.