image

Lockbit-ransomware besmet geen computers met bepaalde taalinstelling

vrijdag 17 maart 2023, 11:04 door Redactie, 2 reacties

De "nieuwste" versie van de Lockbit-ransomware infecteert geen systemen met een bepaalde taalinstelling. Het gaat onder andere om het Russisch, Oekraïens en Syrisch. Dat melden de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De Amerikaanse overheidsdiensten waarschuwen instanties geregeld voor specifieke ransomware-exemplaren, waarbij ze informatie over de werkwijze van ransomwaregroep delen, alsmede andere details.

Met de gedeelde tactieken, technieken en procedures (TTP's) en indicators of compromise (IOC's) kunnen organisaties zich dan tegen de ransomware beschermen. De nieuwste waarschuwing richt zich op Lockbit 3.0, die vorig jaar juni voor het eerst werd opgemerkt. Net als de vorige versies wordt ook LockBit 3.0 aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden.

Lockbit 3.0 infecteert geen systemen met een bepaalde taalinstelling. Het gaat onder andere om Russisch, Oekraïens en Syrisch. Wanneer de ransomware een dergelijke taalinstelling detecteert stopt de ransomware zichzelf en zal het systeem niet infecteren. Dit zouden de ransomware-ontwikkelaars, waarvan wordt vermoed dat ze vanuit deze regio's opereren, opzettelijk doen om vervolging door de autoriteiten daar te ontlopen. Zolang er geen "lokale" slachtoffers worden gemaakt kunnen de ransomwaregroepen dan met hun activiteiten doorgaan is het idee. In het verleden hebben experts weleens gesteld dat het wijzigen van de taalinstelling ransomware kan voorkomen.

Verder bevat de waarschuwing van de FBI en het CISA informatie over de tools die partners/afnemers van de ransomware gebruiken. Het gaat dan om software zoals FileZilla, MegaSync, PuTTY Link, rclone, Splashtop en WinSCP. Daarnaast maken Lockbit-partners vaak gebruik van publieke file sharing websites voor het uploaden van data voordat ze die versleutelen. Dit wordt gedaan om slachtoffers extra af te persen. Wanneer er niet wordt betaald dreigen de aanvallers de data openbaar te maken.

Om aanvallen met ransomware te voorkomen doen de Amerikaanse overheidsdiensten allerlei aanbevelingen, maar met drie zaken moeten organisaties vandaag nog beginnen, zo laat de waarschuwing weten. Het gaat dan om het verhelpen van bekende, aangevallen kwetsbaarheden, het trainen van personeel om phishingaanvallen te herkennen en te melden en het implementeren van phishingbestendige multifactorauthenticatie.

Image

Reacties (2)
17-03-2023, 11:59 door Anoniem
Al jaren dat ze dit doen.
17-03-2023, 14:53 door Anoniem
Ja, geen cybercrime in de eigen achtertuin. Zo kan je ongestraft blijven werken aan je verdienmodel,
'Na narodu' (voor het vaderland).

Verdere ontwrichting van je tegenstander gegarandeerd. Al sinds 2015 een onoplosbaar probleem gebleken.

Steeds meer en drastischer monitoring en surveillance voor de gewone burger,
gevolg daarna steeds minder greep en handhaving op cybercrime.
Ordo ab Chao van meerdere kanten.

Zouden de inrichters/aanstichters ook al niet behoren tot of samenwerken met de grootste (cyber)criminelen?

Je kunt het blijven herhalen. Schijnt nog steeds aan dovemansoren te zijn gericht. Men vindt het wel best zo.
Je bent en blijft daarom roepend in de woestijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.