GandCrab: The New Dash Ransomware die op de loer ligt

Vorig jaar leek het jaar voor Ransomware. We zagen de proliferatie van Wannacry, Bad Rabbit en Petya om er maar een paar te noemen. Deze aanvallen legden computers over de hele linie lam, van bedrijven tot ziekenhuizen.

Nu lijkt het erop dat de ransomware-plaag in 2018 nog steeds springlevend is.

Een nieuw type ransomware genaamd “GandCrab” maakt de ronde en brengt schade toe. Deze soort, die van Russische oorsprong is, is ook interessant in die zin dat het een van de weinige soorten ‘ransomware as a service’ is.

Een ander interessant ding over GandCrab is dat het de DASH-cryptocurrency gebruikt in plaats van Bitcoin. Dit komt waarschijnlijk door de moeilijkheid die het volgen van deze betalingen met zich meebrengt.

Laten we dieper ingaan op de nieuwste bedreiging en wat u kunt doen om deze te vermijden.

Wat is GandCrab?

GandCrab is ransomware die wordt verspreid via twee exploitkits, namelijk RIG EK en GrandSoft EK. Het werd eerder dit jaar op 26 januari voor het eerst ontdekt. Hieronder staat de tweet van de betreffende onderzoeker.

De Ransomware heeft sindsdien veel meer aandacht gekregen in de cybersecurity-kringen en er is meer onderzoek naar gedaan. Een van deze firma’s was LMNTRIX die is gevestigd in Australië. Ze doken ook in de darkweb-forums om te bepalen hoe de ransomware wordt verspreid.

Dit werkt als een van de weinige “ransomware as a service” -aanvallen. In wezen zullen de aanvallers opereren op een aangesloten structuur waar de ontwikkelaars een percentage van de korting van de aangesloten bedrijven krijgen. De ontwikkelaars van de ransomware bieden onbeperkte oplossingen en technische ondersteuning voor de code.

Ze bieden ook speciale grotere partners de mogelijkheid om een ​​betere snit te krijgen van het typische 60:40 naar het meer lucratieve 70:30. Dat is de aard van dit criminele aanbod dat ze zelfs een youtube video die de partners helpt bij het opzetten van de ransomware.

Er zijn enkele beperkingen voor waar de gebruikers kunnen werken, maar ze mogen zich niet richten op burgers van landen in de voormalige Sovjet-Unie. Dit komt waarschijnlijk doordat de operators en servers zich in deze landen bevinden.

Hoe werkt het?

De GandCrab-ransomware maakt gebruik van de bekende Rig en Grandsoft-exploitkits. Deze staan ​​erom bekend in het verleden malware af te leveren via gecompromitteerde websites. Ze zijn maar één keer eerder gebruikt voor een malware-payload.

Het is onlangs ook gemeld door MalwareBytes Labs dat de GandCrab-payload ook wordt verspreid via EITest en Necurs-mailspam. Deze laatste zal de gebruiker vragen een pdf-factuur te downloaden voor hun aandacht.

GandCrab schadelijke e-mail pdf

E-mail met schadelijke pdf. Bron: bleepingcomputer.com

Op het moment dat de gebruiker de pdf downloadt, moet hij een captcha invullen in het pdf-bestand. Zodra dat is gebeurd, wordt er een kwaadaardig woordbestand gemaakt waarvoor de gebruiker macro’s moet activeren. Als de gebruiker dit doet, activeert het een macro die een powershell-script uitvoert.

Dit zal dan de GandCrab-ransomware starten en verbinding maken met de command and control-servers (die .bit-domeinen gebruiken). Het versleutelt de bestanden van de gebruikers en ze krijgen een .onion-URL waar ze toegang tot de losgeldpagina kunnen krijgen. Hieronder staat de pagina in kwestie die om 1.5 DASH vraagt.

GandCrab Ransomware Opmerking

Ransome notitie scherm. Bron: malwarebytes.com

Zoals je zou zien bij vergelijkbare ransomwarecampagnes, zal de prijs van de decodering na een bepaalde periode stijgen. Dit wordt gedaan om urgentie bij de slachtoffers teweeg te brengen. Tegen de huidige marktprijzen zou de decodering $ 1.050 kosten. Dit is aanzienlijk meer dan de prijzen in eerdere aanvallen die in Bitcoin hebben geëist.

DASH heeft een aantal privacybevorderende protocollen geïmplementeerd die de betreffende transacties proberen te verbergen. Ze gebruiken bijvoorbeeld iets dat Darksend-mixen wordt genoemd, waardoor al je munten met anderen op de blockchain worden gemengd. Dit kan helpen als het gaat om autoriteiten die transacties volgen.

Lessen die moeten worden geleerd

Het spreekt voor zich dat u geen pdf-documenten moet downloaden van mensen die u niet kent. Dit zou het veelbetekenende teken moeten zijn van een kwaadwillende exploit die iemand op uw pc probeert te krijgen.

Met betrekking tot de andere exploitvectoren die GandCrab gebruikt, dient u websites te vermijden waarnaar u onbewust bent doorgestuurd. Probeer te voorkomen dat u op links naar verdachte advertenties klikt.

Ten slotte, en vooral, het installeren van effectieve antivirusprogramma’s zou helpen om de exploits te identificeren. Vaak is de gebruiker de zwakste schakel bij een ransomwareaanval.

Uitgelichte afbeelding via Fotolia & Dash

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me