Windowscomputers van verschillende banken en een farmaceutisch bedrijf uit India zijn begin deze maand met de "LeChiffe-ransomware" besmet geraakt. In tegenstelling tot veruit de meeste ransomware die zich via e-mailbijlagen, drive by-downloads of al aanwezige malware verspreidt, moet LeChiffre handmatig op computers worden uitgevoerd, zo stelt anti-malwarebedrijf Malwarebytes.

De aanvallers maken hiervoor gebruik van de remote desktopfunctie van Windows. Via remote desktop is het mogelijk om op afstand op computers in te loggen. Volgens Malwarebytes zoeken de aanvallers naar slecht beveiligde computers die via remote desktop toegankelijk zijn. Zodra het wachtwoord is gekraakt wordt er via remote desktop ingelogd en de ransomware op de computer uitgevoerd. LeChiffre versleutelt bestanden voor losgeld. De naam van de ransomware is afkomstig van de extensie van versleutelde bestanden, die op .LeChiffre eindigt. Naast het versleutelen van bestanden installeert LeChiffre ook een backdoor op het systeem.

De Times of India berichtte eerder al over de infecties bij de drie banken en het farmaceutische bedrijf. Om welke banken het gaat is niet bekendgemaakt. Wel meldt de krant dat de aanvallers de computers van de systeembeheerders wisten over te nemen. Voor het ontsleutelen van de bestanden werd 1 bitcoin gevraagd, wat overeenkomt met 360 euro. "De afgelopen weken zijn veel bedrijven, waaronder verschillende banken en farmaceutische bedrijven, aangevallen door hackers", aldus Mukul Shrivastava van EY.

Hij stelt dat bedrijven voor zo'n 15 computers het losgeld hebben betaald, zodat de directeuren hun computers weer konden gebruiken. Hoeveel computers bij de drie banken besmet raakten en wat de impact was, is onbekend. In tegenstelling tot wat Malwarebytes beweert, stelt de Times of India dat alle aanvallen met een e-mail gericht aan de systeembeheerder begonnen. Na infectie van de systeembeheerder zijn computer werden de overige computers geïnfecteerd.