Criminelen die organisaties met ransomware infecteren blijven na het versleutelen van systemen op de netwerken van hun slachtoffers actief en lezen mee met de berichten die worden ontvangen en verstuurd. Iets wat gevolgen heeft voor de manier waarop getroffen bedrijven met de infectie en het herstel moeten omgaan. Dat laat John Fokker, hoofd cyberonderzoek en principal engineer bij antivirusbedrijf McAfee tegenover Bleeping Computer weten.

"We zijn bekend met verschillende gevallen waarbij de ransomwarecriminelen op het netwerk van een slachtoffer actief bleven nadat ze hun ransomware hadden uitgerold. In deze gevallen versleutelden de aanvallers de back-ups van slachtoffers na de initiële aanval of tijdens onderhandelingen, wat duidelijk maakte dat de aanvallers nog steeds toegang hadden en de e-mail van het slachtoffer lazen", aldus Fokker.

Onlangs werd de Amerikaanse vliegtuigreparateur VT San Antonio Aerospace door de Maze-ransomware getroffen. De aanvallers maakten verschillende documenten openbaar die ze bij het bedrijf hadden buitgemaakt, om het zo te dwingen het gevraagde losgeld te betalen. Eén van documenten die de aanvallers publiceerden ging over de betreffende ransomware-aanval, wat liet zien dat de aanvallers nog steeds toegang hadden op het moment dat VT San Antonio Aerospace het incident onderzocht.

Volgens Vitali Kremez van securitybedrijf Advanced Intel is het belangrijk dat incident response teams ervan uitgaan dat de aanvaller nog steeds op het netwerk aanwezig is, totdat het tegendeel is bewezen. Communicatie over de herstelwerkzaamheden moet daarom plaatsvinden via een kanaal dat niet zichtbaar voor de aanvaller is. Daarnaast is het mogelijk niet genoeg om systemen opnieuw te installeren, aangezien de mogelijkheid bestaat dat aanvallers de inloggegevens hebben gestolen. De domeinwachtwoorden moeten dan ook worden aangepast, aldus Kremez.