'Nieuwe versie van ransomwarevariant kiest tussen versleutelen en cryptomining'

Beveiligingsbedrijf Kaspersky Lab heeft een nieuwe variant van de zogenaamde Rakhni-ransomware gevonden. Als deze malware eenmaal op een systeem aanwezig is, kan deze kiezen of hij bestanden versleutelt of dat hij de cpu gebruikt voor mining van cryptovaluta.

Kaspersky schrijft dat de malware zich voornamelijk richt op Russische gebruikers en dat de verspreiding plaatsvindt via e-mails met een kwaadaardige bijlage. Als de malware eenmaal op een systeem aanwezig is, controleert deze onder meer of er sprake is van een virtual machine, wat erop zou kunnen wijzen dat iemand probeert de malware te analyseren. Vervolgens vindt er een controle plaats of de folder 'bitcoin' in de map 'AppData' aanwezig is. Is dat het geval, besluit de malware de bestanden op het systeem te versleutelen volgens de gangbare werkwijze van ransomware. De aanname is dan waarschijnlijk dat het slachtoffer een bitcoinwallet heeft dat een bepaalde waarde vertegenwoordigt.

Als die folder niet aanwezig is en de cpu van het geïnfecteerde systeem meer dan twee logische cores heeft, kiest de malware er juist voor om de cryptominer te installeren. Omdat mining plaatsvindt met de cpu, kiest de malware een cryptovaluta die daarvoor geschikt is. In dit geval is dat Monero en Monero Original. Volgens Kaspersky zijn er wel aanwijzingen dat in dat laatste geval juist wel de gpu wordt gebruikt, omdat er een folder 'cuda' wordt aangemaakt. Er is ook de mogelijkheid om Dashcoin te delven. Er is ook nog een derde optie, die wordt gekozen als er slechts één logische core is. In dat geval activeert de malware een wormcomponent, die een poging doet zich naar andere computers op hetzelfde netwerk te verspreiden.

Het beveiligingsbedrijf schreef in een recent rapport dat het aantal gebruikers dat met ransomware te maken heeft gekregen tussen 2017 en 2018 met dertig procent is gedaald ten opzichte van de periode tussen 2016 en 2017. Het aantal mensen die te maken kregen met miners steeg daarentegen met 44 procent.

rakhni-malware — Kwaadaardige Word-bijlage die slachtoffers vraagt een nep pdf-document te openen

Reacties (33)

Pathogen 6 juli 2018 16:48

Een Word-bijlage die vraagt of je een PDF wil openen? Staat er in die PDF ook nog een link naar een website waar je de malware moet downloaden?
Serieus, hoe digibeet moet je zijn om daar nog in te stinken?

SinergyX @Pathogen • 6 juli 2018 16:57

Nee, die PDF in dat word document is geen PDF, het is een executable.

The victim is expected to double-click on the embedded PDF file. But instead of opening a PDF the victim launches a malicious executable.

Ze neppen vervolgens je om te denken dat het niet goed ging met PDF openen:

After execution, the downloader displays a message box with an error text. The purpose of this message is to explain to the victim why no PDF file opened.

Plus ze doen er nog alles aan om het echt een PDF te laten lijken, inclusief een HTTP request

To hide the presence of the malicious software in the system the malware developer made their creation look like the products of Adobe Systems. This is reflected in the icon, the name of the executable file and the fake digital signature that uses the name Adobe Systems Incorporated. In addition, before installing the payload the downloader sends an HTTP request to the address www.adobe.com.

Dus echt digibeet niveau is het zeker niet, word document doet in principe alles. Enige aspect is dat het 'raar' is dat je een word document stuurt met een embedded PDF erin, maar de manier hoe wij soms facturen digitaal toegestuurd krijgen.. is dat ook niet zo bijzonder
(mijn favoriet, een word factuur met een embedded excelsheet erin

SaiKoTiK @SinergyX • 6 juli 2018 17:54

After execution, the downloader displays a message box with an error text. The purpose of this message is to explain to the victim why no PDF file opened.

vreemd, waarom openent de exe niet een pdf zodat er wel een pdf open gaat, dan hoeven ze niet te verklaren waarom er geen open gaat... of denk ik hier te simpel?

Neko Koneko @SaiKoTiK • 6 juli 2018 18:09

Een daadwerkelijke PDF maken en meeleveren is meer werk dan een nep-foutmelding weergeven

ewal @Pathogen • 6 juli 2018 17:46

Genoeg! Denk aan al die 60-plussers die niks met computers hadden en er onlangs achter kwamen dat het toch wel makkelijk is om te internetbankieren omdat alle banken sluiten. Of omdat digid toch wel makkelijk is en dat je vanuit huis alles kunt regelen op je oude dag. En met de vergrijzing is dat een grote groep die steeds groter wordt. En die weten het verschil nog niet tussen docx of pdf en zien er geen kwaad in.

jsnl @ewal • 7 juli 2018 14:04

Volgens mij klopt je verhaal niet.
Ken veel meer jongeren die alles klakkeloos openen dan ouderen, bij de digibeten onder de ouderen is er altijd twijfel... "moet ik dat wel doen", bij diegene die vanaf DOS met de Pc meegegroeid zijn is er meer algemene kennis aanwezig dan bij de Smartfoon generatie.

Ben zelf 63, in 1989 met PC gestart, online sinds 1990, eerst nog via BBS'en,(2K4) ergens in 1993 gestart met internet.

ZesBarkiePK @jsnl • 9 juli 2018 13:22

Eens, en met de cookie wet werd het er al niet beter op, zo'n groot gedeelte van de eindgebruikers klikt direct op ja en toestaan. Jong en oud, maar ik zie inderdaad dat ouderen toch vaak voorzichtiger zijn.

ewal @jsnl • 7 juli 2018 15:41

Mijn punt was om dit stukje te ontkrachten:

"Serieus, hoe digibeet moet je zijn om daar nog in te stinken?"

Een tweaker kun je niet vergelijken met een basis gebruiker.

Ik nam als 1 voorbeeld ouderen maar ook jongeren kunnen hier ongemerkt intuinen.

PepijnK @ewal • 8 juli 2018 12:12

Er zijn genoeg mensen in mijn omgeving die allerlei beveiligingen in Windows met opzet uit willen zetten want die UAC melding is zo irritant. Of ze willen niet moeten werken met 2 accounts, zodat ze niet default met admin rechten werken.
De ergste die ik heb meegemaakt had de AV uitgezet, want het was zo vervelend dat die een illegaal gedownload spel blokkeerde. Tot XS4ALL zijn lijn uitzette vanwege het feit dat er spam werd verstuurd vanaf zijn machine.

Ik ken genoeg mensen die bij lange na niet paranoide genoeg zijn over wat ze van internet downloaden. Zoals de docent NT4 ooit tegen ons zei "het gaat er bij netwerk en systeem beveiliging niet om of je paranoia bent, het gaat er om of je wel paranoia genoeg bent". Volgens mij weet de bulk van de gebruikers tegenwoordig echt niet meer waar ze paranoia voor zouden moeten zijn, laat staan dat ze paranoia genoeg zijn.

Liberteque @ewal • 6 juli 2018 18:11

sterker nog: docx.exe of pdf.scr.. klikken en openen maar

/sad

[Reactie gewijzigd door Liberteque op 22 juli 2024 19:39]

GateKeaper @Liberteque • 6 juli 2018 18:23

De extentie wordt standaard dan ook verborgen, en is er dus visueel geen verschil tussen document.docx en document.exe. Ook het icoontje kan bij een exe worden ingesteld, waardoor het visueel niet te onderscheiden is van een echt word document.

Wel is het zo dat windows je waarschuwt wanneer er een onbekende exe wordt gestart. Dit zou mensen tegen moeten houden.

Maar helaas zijn veel mensen inderdaad nog wat naïef, en denken dat windows het wel eens verkeerd zou kunnen hebben.

Ook onder het mom van "dat overkomt mij toch niet".

Heb 't zo vaak gehoord; "ze mogen mij wel hacken, heb toch niets te verbergen / waardevols op de pc staan"

Liberteque @GateKeaper • 6 juli 2018 20:13

Ja natuurlijk, je hebt helemaal gelijk.. Dat extensie verbergen deed bv Kazaa ook altijd. Als je dan een liedje zag dat eindigde op .mp3 wist je dat Kazaa de echte extensie had verborgen. Nietsvermoedende mensen denken dan gewoon dat is een mp3.

Wat ik eigenlijk wel bedoelde, maar niet duidelijk had omschreven was dat je bij deze mensen gewoon de docx.exe of pdf.scr bestanden op hun desktop of usb stick kunnen gooien en dan nog gewoon dubbelklikken omdat ze geen flauwe notie hebben..

MISTERAMD @Liberteque • 8 juli 2018 04:25

Als mensen Explorer hebben ingesteld dat ze de bekende extensies moeten verbergen, kan je iets zien zoals document.docx, maar op dat moment weet je dat er iets achter staat aangezien Word van Microsoft is en dus een bekende extensie is. Meestal zie je dan document.docx.vbs of document.docx.exe als je de bekende extensies niet verbergt. En een pdf.scr is een meest voorkomende extensie hetzelfde als vbs, exe, pif, lnk, etc.. :-)

henk717 @Pathogen • 6 juli 2018 16:50

Dat vroeg ik mij ook af toen ik het andersom zag, dat een PDF een Word Doc wou openen die vervolgens macro's wou activeren vanwegen een "Beveiligde weergaven". Dat mensen die Word truuk geloven snap ik nog maar waarom dubbel op?

Sebas1979 @henk717 • 6 juli 2018 16:54

om spamfilters die macro's in MS Office documenten tegenhouden, te omzeilen.

robvanwijk @Pathogen • 6 juli 2018 16:58

Serieus, hoe digibeet moet je zijn om daar nog in te stinken?

Zelfs als slechts één op de duizend mensen erin trapt, dan nog levert het geld op. Het verzenden van mailtjes is zo ongeveer gratis, zelfs in absurde hoeveelheden. Als je niet genoeg slachtoffers maakt doe je gewoon nog een paar miljoen mailtjes de deur uit. In combinatie met een pakkans van bijna nul... waarom niet?

In de "goede oude tijd" van niet-electronische misdaad zou je als crimineel wel gek zijn om bij duizend huizen in te breken en maar bij één huis daadwerkelijk iets mee te kunnen nemen. Maar als computers het routinewerk doen en jij pas aan de slag hoeft als er inderdaad geld binnenkomt (de ontvangen bitcoins door een mixer gooien en dat soort trucs), dan is het helemaal geen probleem als je slagingspercentage stompzinnig laag is.

botneet @robvanwijk • 6 juli 2018 17:52

De topcriminelen van nu zijn whizzkids. Online valt tegenwoordig meer geld te scoren dan offline met veel praktijken, de pc is een machtig wapen.

Zag gister in een documentaire hoe noord korea d.m.v. Hacks en bitcoinfraude toch hun staatskas lekker kan spekken en allerlei handelssancties omzeilt.

laptopleon @robvanwijk • 8 juli 2018 10:56

Ik weet niet hoor, hoeveel mensen minen nou echt zelf? En dat zijn waarschijnlijk precies níet de mensen die in deze nep-foutmelding trappen.

En van de niet-miners met een 'interessante' videokaart / CPU, hoeveel daarvan laten dat gewoon gebeuren? Meestal hoor je bij PC's de fans aardig in toeren klimmen als die gekaapt worden voor mining. Computer wordt er ook niet bruikbaarder op. Dus de stekker gaat er uit voordat hij serieus wat heeft kunnen minen, zou ik denken.

botoo

@Pathogen • 6 juli 2018 18:23

Zo vreselijk digibeet hoef je niet te zijn. De kwaadaardige emailtjes worden uit naam van allerlei vertrouwde instanties verstuurd (denk aan KPN of Rabo) en als de ontvanger nou net op een reactie van zo'n instantie zit te wachten dan trap je er al veel makkelijker in. Probeer maar eens support te vragen bij bv de KPN, gaat heel vaak digitaal met bots die antwoorden en dan komt er net zo'n kwaadaardig mailtje binnen van ogenschijnlijk de KPN.

Ik noem hier de KPN als voorbeeld, maar alle grote instanties worden hiervoor gebruikt, die hebben een grote hoeveelheid klanten en met de miljoenen (?) phisjingmailtjes is de kans groot dat er een aantal bij de juiste klanten aankomt.

Tribits 6 juli 2018 17:14

Leuk hoor dat detecteren van een VM omgeving, maar het is zo langzamerhand ook wel een heel oud trucje. De gemiddelde malware researcher zal waarschijnlijk gewoon een fysieke machine pakken, desnoods op een eigen netwerk. Ook mist de malware alle systemen die om een andere reden in een VM draaien (wat er ook de reden van is dat 80 procent van de malware niet beschikt over een dergelijke detectie) en zijn er bij malware researchers ook wel weer de nodige methodes bekend om detectie te voorkomen.

Kain_niaK

cryptocurrency

7 juli 2018 09:34

De volgende stap is een randomware die zijn slachtoffer de keuze geeft tussen het betalen van Bitcoins of de mining software een paar maanden aan CPU miner laten minen en dan de sleutels vrij geven.

ToFast 6 juli 2018 16:48

Vernuftig stukje software dus

Tribits @ToFast • 6 juli 2018 16:59

Het wordt pas vernuftig als het buiten de detectie van Windows defender en de gemiddelde virusscanner weet te blijven. Generieke detectie van ransomware encryptie is tegenwoordig redelijk standaard en ook een permanente hoge belasting van een onbekend stuk software zal vaak de alarmbellen af doen gaan.

SinergyX @Tribits • 6 juli 2018 17:04

Maar wie bepaald 'onbekend' stuk software? Lang niet elk bedrijf (of particulier) heeft een ICT team van niveau, die echt geen complete logs en alarmbellen bijhouden bij eventueel opmerkelijk gedrag van een computer.

Zeker als het zich gewoon als 'bekend' bestandsnaam in taskmanager wegzet, heb je ook weer een deel van die ICT mannetjes om de tuin weten te leiden.

Alleen snap ik niet hoe de installatie mogelijk is vanuit een executable zonder bekende bron, dan krijg je bij alle Windows versies toch eerst een popup of je deze wel wil draaien?

Tribits @SinergyX • 6 juli 2018 17:18

Maar wie bepaald 'onbekend' stuk software? Lang niet elk bedrijf (of particulier) heeft een ICT team van niveau, die echt geen complete logs en alarmbellen bijhouden bij eventueel opmerkelijk gedrag van een computer.

Hash draaien en vergelijken met een lijst van bekende hashes? Whitelist waarbij alles wat onbekend is in ieder geval voor evaluatie aan een beheerder door wordt gestuurd? Alle executable die vanuit user folders worden gedraaid? Daar zijn wel wat mogelijkheden voor te bedenken zonder dat daar een team IT'ers op hoeft te zitten.

Alleen snap ik niet hoe de installatie mogelijk is vanuit een executable zonder bekende bron, dan krijg je bij alle Windows versies toch eerst een popup of je deze wel wil draaien?

Executable hoeven normaal gesproken niet geïnstalleerd te worden, en die popup wordt gegenereerd op basis van de NTFS alternate stream info, die kan een user proces ook gewoon verwijderen.

[Reactie gewijzigd door Tribits op 22 juli 2024 19:39]

twizzle @SinergyX • 7 juli 2018 00:59

De gemiddelde persoon snapt echt niet waarom de PC langzaam wordt hoor, toen ik mijn moeder mijn oude PC gegeven had en een maand later op bezoek ervan gebruik maakte heb ik hem ook gelijk meegenomen en een clean install moeten doen.

stftweaker @Tribits • 6 juli 2018 17:04

Maar dan is het al te laat? En ransomware als deze weet er zelfs met goeie av nog doorheen te glippen

Tribits @stftweaker • 6 juli 2018 17:58

De kans dat je jezelf genoodzaakt ziet de ransom te betalen nadat er tien bestanden zijn gecrypt is toch een stuk lager dan dat je er pas achter komt als er een paar honderd op slot zijn gezet. Los daarvan weet ik niet hoe ieder stuk AV software in detail werkt, maar er waren er in het verleden ook die een eigen undelete/recycle bin draaiden die niet omzeild kon worden. Kan je de bestanden ook nog automatisch terugzetten.

En verder: geen idee in hoeverre deze er doorheen glipt. Soms valt het tegen hoe lang het duurt voordat nieuwe malware in alle databases over is genomen, maar het komt ook wel voor dat er een automatische sample submit plaats vindt en de eerste AV software het een uur later al detecteert.

Kain_niaK

cryptocurrency

@ToFast • 7 juli 2018 09:29

Satoshi heeft ook gelijk gekregen maar toch op een andere manier ....

Satoshi: "As long as honest nodes control the most CPU power on the network,
they can generate the longest chain and outpace any attackers."

Anonymous: "But they don't. Bad guys routinely control zombie farms of 100,000
machines or more. People I know who run a blacklist of spam sending
zombies tell me they often see a million new zombies a day."

"This is the same reason that hashcash can't work on today's Internet
the good guys have vastly less computational firepower than the bad guys."

Satoshi: "Thanks for bringing up that point."

I didn't really make that statement as strong as I could have. The requirement
is that the good guys collectively have more CPU power than any single
attacker.

There would be many smaller zombie farms that are not big enough to overpower
the network, and they could still make money by generating bitcoins. The
smaller farms are then the "honest nodes". (I need a better term than
"honest") The more smaller farms resort to generating bitcoins, the higher the
bar gets to overpower the network, making larger farms also too small to
overpower it so that they may as well generate bitcoins too. According to the
"long tail" theory, the small, medium and merely large farms put together
should add up to a lot more than the biggest zombie farm.

Even if a bad guy does overpower the network, it's not like he's instantly
rich. All he can accomplish is to take back money he himself spent, like
bouncing a check. To exploit it, he would have to buy something from a
merchant, wait till it ships, then overpower the network and try to take his
money back. I don't think he could make as much money trying to pull a carding
scheme like that as he could by generating bitcoins. With a zombie farm that
big, he could generate more bitcoins than everyone else combined.

The Bitcoin network might actually reduce spam by diverting zombie farms to
generating bitcoins instead.

Satoshi Nakamoto

source: https://satoshi.nakamotoi...y/3/#selection-19.0-93.16

[Reactie gewijzigd door Kain_niaK op 22 juli 2024 19:39]

Anoniem: 1092127 6 juli 2018 17:26

Zou, bijvoorbeeld je Oma er ingestonken kunnen zijn ? Redelijke doelgroep

cdwave @Anoniem: 1092127 • 7 juli 2018 20:27

Mijn moeder in ieder geval niet. Die klikt nergens op. Als het niet in het Nederlands is gaat het sowieso direct de prullenbak in, en de mail van tante Sjaan met een vreselijk leuk filmpje gaat er gewoon ongezien achteraan.

ShellGhost 6 juli 2018 18:53

Interessant dat ze nu specifiek Russen targetten. De "meeste" malware checkt of cyrillisch als taal actief is en als dat zo is verwijderd de malware zich weer.

Op dit item kan niet meer gereageerd worden.

'Nieuwe versie van ransomwarevariant kiest tussen versleutelen en cryptomining'

Lees meer

Reacties (33)

Sorteer op:

Weergave: