Fortinet ontdekt nep-wallet voor nep-cryptomunt SpriteCoin

 

Fortinet FortiGuard Labs heeft een nieuwe ransomware-variant ontdekt, die voor de betaling van losgeld alleen de in 2014 geïntroduceerde open source cryptovaluta Monero accepteert. Dit vertegenwoordigt een breuk met de op brede schaal gebruikte Bitcoin op het gebied van ransomware. De makers van deze malware zijn goed op de hoogte van de laatste trends en gebeurtenissen en lijken te willen profiteren van alle hype rond cryptovaluta’s.

Deze nieuwe vorm van ransomware vraagt niet alleen om betaling met Monero, maar geeft zich ook uit als cryptovaluta-gerelateerde password store. De malware doet zich voor als ‘SpriteCoin wallet’ en vraagt de gebruiker om een wachtwoord aan te maken. Maar in plaats van de block chain te downloaden, versleutelt de ransomware in het geniep de bestanden van het slachtoffer. Vervolgens vraagt deze losgeld in de vorm van Monero in ruil voor het ontsleutelen van de data. Het voor de ransomware gebruikte uitvoerbare bestand (dat in het veld in de vorm van spritecoind[.]exe is aangetroffen) is verpakt in een Ultimate Packer for eXecutables (UPX)-compressiebestand als simpele techniek om beveiligingsmechanismen te omzeilen. De ransomware tovert de gebruikelijke melding “Uw bestanden zijn versleuteld” op het scherm en vraagt het slachtoffer om 0,3 Monero. Dit komt op het moment van schrijven overeen met 84,50 euro.

Uit de analyse van Fortinet blijkt dat het malwarefragment een ingebouwde SQLite engine bevat. Fortinet vermoedt daarom dat de ransomware gebruikmaakt van SQLite voor de opslag van de aanmeldingsgegevens die het verzamelt. De ransomware probeert eerst om aanmeldingsgegevens voor Chrome te bemachtigen. Als die niet worden aangetroffen, zoekt deze toegang tot de database met aanmeldingsgegevens van Firefox. De ransomware zoekt vervolgens naar specifieke bestanden om te versleutelen. Versleutelde bestanden krijgen de extensie .encrypted (bijvoorbeeld curriculumvitae.doc.encrypted).

De ransomware maakt de ellende nog groter door tijdens de ontsleutelingsfase een andere malware-variant te installeren die in staat is om digitale certificaten te verzamelen, afbeeldingen uit te lezen (scan van creditcards etc) en webcams te activeren. Hoe de malware precies te werk gaat leest u hier.

Fortinet raadt organisaties aan om niet alleen de laatste malware signatures te downloaden, maar zich ook op ransomware-aanvallen voor te bereiden door een solide back-up- en herstelplan te ontwikkelen. Het is belangrijk om niet louter gebruik te maken van back-ups in schaduwvolumes, omdat sommige ransomware-varianten die verwijderen. Makers van malware weten dat de meeste gebruikers geen regelmatige back-ups van hun systeem maken. Maar voor het geval iemand toch een back-up opslaat in een schaduwvolume of vergelijkbare back-up maakt, bouwen zij code in de ransomware in om die onklaar te maken. Een simpele offline back-up van belangrijke bestanden kan dus een hoop tijdverlies en frustratie voorkomen. Best practices vragen om waakzaamheid met het maken van reservekopieën en het regelmatig maken van back-ups. Die moeten offline worden opgeslagen op een afzonderlijk apparaat, en zelfs op meerdere locaties met het oog op redundantie.

Meer informatie over de malware leest u in deze blog.

Corneel Haine

PR Specialist, Evoke (CJ Communications BVBA)

Persberichten in je mailbox

Door op "Inschrijven" te klikken, bevestig ik dat ik het Privacybeleid gelezen heb en ermee akkoord ga.

Over Evoke

Scoren in de pers boost sales en Evoke helpt bedrijven hierbij. Samen met de klant halen we nieuws uit hun onderneming om dit onder de aandacht van de media te brengen. In de vorm van een persbericht, klantengetuigenis of opiniestuk, of via een interview of persconferentie, verstrekken we het nieuws duidelijk en gebruiksklaar aan de juiste journalist(en). Zo leest of leert het brede publiek in een geloofwaardig kader over onze klanten in de krant, op de radio of op televisie.

Contact

Witte Patersstraat 4 1040 Brussel

+32 (0)2 740 43 32

[email protected]

www.evokepr.be