Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Criminelen verspreiden GandCrab-ransomware in Nederland via sollicitatiemails

Verschillende Nederlandse bedrijven ontvangen nepsolliciaties via e-mail die de GandCrab-ransomware bevatten. De e-mails bevatten een profiel en een kwaadaardige zip-bijlage. GandCrab maakt gebruik van een kwetsbaarheid in Windows die al gepatcht is.

De bedrijven hebben tegenover RTL Nieuws melding gemaakt van de sollicitatiemails met ransomware. Diezelfde website publiceerde afgelopen weekend over de opkomst van GandCrab in Nederland. De systemen van duizenden Nederlanders zouden zijn geïnfecteerd.

Met de e-mailtjes richten criminelen zich op bedrijven. Het lijkt niet te gaan om gerichte reacties op vacatures, maar om algemene e-mails waarin wordt verwezen naar een vacature op een vacaturewebsite. Bij de e-mails, die in het Nederlands zijn opgesteld, zit een zipbijlage met daarin de ransomware.

Hoeveel bedrijven slachtoffer zijn geworden van GandCrab als gevolg van de e-mails, is niet bekend. De Nederlandse beveiligingsonderzoeker Thomas Maarseveen ontdekte onlangs dat duizenden Nederlandse systemen geïnfecteerd zijn met de ransomware. Hij kwam daarachter doordat hij een domein registreerde waarmee GandCrab communiceert. Zo kan hij zien waar nieuwe infecties ontstaan.

Systemen die besmet zijn met GandCrab worden versleuteld en de makers vragen duizend euro losgeld dat in bitcoins betaald moet worden. Na het verstrijken van een bepaalde tijd wordt het losgeld verdubbeld. Er is nog geen manier om de bestanden zelf te ontsleutelen.

GandCrab-versie 5.0 maakt volgens beveiligingsonderzoeker Valthek gebruik van een kwetsbaarheid in Windows die door Microsoft in september is gepatcht. De ransomware kan ongepatchte systemen infecteren via bijlagen in e-mail. Ook kan GandCrab systemen besmetten via kwaadaardige advertenties, door gebruik te maken van kwetsbaarheden in de Windows VBScript Engine en een beveiligingslek in de Adobe Flash Player. In alle gevallen gaat het om lekken die al zijn gedicht.

Voorbeeld van sollicitatie met GandCrab-ransomware - Afbeelding: RTL Nieuws

Door Julian Huijbregts

Nieuwsredacteur

03-10-2018 • 16:39

81 Linkedin Google+

Reacties (81)

Wijzig sortering
"Hij kwam daarachter doordat hij een domein registreerde waarmee GandCrab communiceert."

Dit blijf ik altijd zo vreemd iets vinden, net zoals tijdje geleden dat iemand een domein registreerde waar het virus mee communiceerde en ineens duizenden pc's vrij van het virus waren. Hoe registreer je een domein om erachter te komen dat een virus dat gebruikt en vervolgens ontdekken dat daar Nederlandse PC's tussen zitten. Waarom communiceert een virus met een ongeregistreerd domein? Het lijkt dus vaker te gebeuren maar ik kan zelf de logica erachter niet echt begrijpen :?

[Reactie gewijzigd door LGlol op 3 oktober 2018 16:58]

Bij notpetya is het uitgebreid aan bod gekomen.

Het kwam bij not petya op het volgende neer:
Ontwikkelaar van de ransomware bouwt een http call in naar bijv. www,jdkwlrbxjaijebdi,com

In de sandbox waarin hij ontwikkeld, zorgt hij ervoor dat de (virtual) 'router' dat address resolved naar iets wat wel bestaat.

In de sandbox is het malafide programma niet fataal. Immers kan de ontwikkelaar niet aan een programma werken als het zijn (sandbox) PC sloopt.

Notpetya werd toen het klaar was verspreid en alle pc zochten verbinding met het rare domein naam waarvan de ontwikkelaar dacht: dat bestaat nooit in het echt.

Een onderzoeker heeft geconstateerd dat notpetya naar dat domein vraagt. Registreert dat domein. En komt er perongelijk achter dat alle notpetya ransomware stopt met verspreiden.


Edit: URL onklaar gemaakt. Het is niet de bedoeling dat mensen er op klikken. Een kwaadwillend iemand kan het domein registreren en er iets fouts mee doen ;)

[Reactie gewijzigd door Jackxl op 3 oktober 2018 17:29]

En vervolgens wordt je als onderzoeker gearresteerd op verdenking van betrokkenheid.
Als ik het mij goed herinner was dat domein wat jij bedoelt om de infectie te stoppen, een soort van ingebouwde safety feature door de makers van de ransomware zeg maar. De geïnfecteerde pc's werden niet virusvrij, maar er vonden geen nieuwe infecties meer plaats.

[Reactie gewijzigd door Stievydude op 3 oktober 2018 17:07]

niet helemaal.
Het was een beveiliging tegen detectie
hij probeerde een niet bestaand url te activeren.
Als dat lukte, Weet het virus dat het in een artificiele omgeving (en dus waarschijnlijk een testbed voor antivirus omgeving) is terecht gekomen, en zet zichzelf uit.
Dit zorgt ervoor dat automatisch lerende virusscanners ed moeilijker word het virus te herkennen.

Echter als onbedoeld side effect was op die manier dus ook heel makkelijk het virus definitief af te zetten.
Maar je komt er zo achter welke DNS requests gedaan worden. Dus zo'n goede beveiliging daartegen kan dat niet zijn.
Ik weet het niet maar ik vermoed dat het zoiets zal zijn dat de besmetting een bericht stuurt naar de domein om te laten weten dat er een computer besmet is. En mogelijk dat er een random paswoord gegenereerd wordt (om te voorkomen dat er 1 wachtwoord is waar iedereen mee kan unlocken) die dan verstuurd wordt.
Hoe registreer je een domein om erachter te komen dat een virus dat gebruikt en vervolgens ontdekken dat daar Nederlandse PC's tussen zitten.
Waarschijnlijk via een of andere sniffer bekijken welke request vanaf een geïnfecteerde pc verzonden wordt. Als je dan die domein registreert kun je aan de ip's die daarmee verbinding proberen te maken zien waar ze vandaan komen.
Waarom communiceert een virus met een ongeregistreerd domein?
Géén idee
Dit blijf ik altijd zo vreemd iets vinden, net zoals tijdje geleden dat iemand een domein registreerde waar het virus mee communiceerde en ineens duizenden pc's vrij van het virus waren.
Dat is een killswitch waar vaak referentie naar te vinden is in de broncode. Zo'n virus kijkt of het domein bestaat en reageert op een http-request (of een andere vorm van contact) en zo ja, stopt dan.
Door de infectie te onderzoeken werd duidelijk dat de versie van grandcrab contact wilde maken met een domein dat nog niet bestond. Door het domein zelf registreren bestond het vervolgens wel en was de eigenaar van het domein in staat om het verkeer naar het domein te analyseren. Dan kan je dus proberen te achterhalen of een client die verbinding zoekt dat vermoedelijk doet omdat die besmet is met de zelfde versie van de randsomware.
Dude, je hebt zo net me hoofd ontploft.. haha
Ik weet niet of deze site 100% legit is, maar hier zou een grandCrab decrypter te downloaden zijn.
Als dit helemaal klopt, snap ik niet dat er zoveel ophef in de media is over grandCrab, maar dat er niemand verwijst naar deze website om het op te kunnen lossen:

https://www.nomoreransom.org/nl/index.html

Edit: Computeridee verwijst ook naar deze site in het algemeen als het gaat over ransomware, dus ik ga ervanuit dat hij 100% legit is. Dus snap ik de media niet....

[Reactie gewijzigd door Passkes op 3 oktober 2018 17:01]

No More Ransom linkt naar een decrypter inderdaad, maar dat is een versie die al in februari uitkwam en die zal dus gemaakt zijn voor een eerdere versie van GandCrab. Voor de nieuwste versie die nu slachtoffers maakt in Nederland, is geen decrypter beschikbaar.
De site is idd legit :), is in samenwerking met de Nederlandse politie, McAfee, Kaspersky en Europol ;)
Op de site kun je een handleiding bekijken, echter deze werkt niet in FF, in chrome lijkt het een pdf en edge wil die pdf downloaden ?????

"BDGandCrabDecryptTool is ontworpen om bestanden te ontsleutelen die versleuteld zijn door GandCrab

Kijk hier voor meer informatie how-to guide.
"
Je hebt denk ik gemist dat er wel 5 versies van bestaan inmiddels, elke versie weer geavanceerder. Volgens mij is die decrypter voor een eerder iteratie dan degene die nu de ronde doet. Voor de laatst versie is bij mijn weten nog geen decrypter. Op zich ook slim om dezelfde naam te gebruiken want sticht een hoop verwarring en dus nog meer bekendheid. Je hebt de kans dat mensen eerst dit geen proberen en dat dit nog duidelijker maakt dat je toch echt zult moeten betalen.
Volgens mij worden die namen iha niet gegeven door de bouwers van die crap zelf, maar door onderzoekers die er over publiceren.
Tsja had allemaal niet hoeven gebeuren als de zips gescand binnen kwamen en er een actieve url blocker was geweest. Eigenlijk melden de bedrijven dus aan RTL dat ze hun beveiliging niet op orde hebben. Wellicht is de AVG hier dan wel in het geding en is het handig dat de bedrijven zelf even aangifte doen.
Eigenlijk melden de bedrijven dus aan RTL dat ze hun beveiliging niet op orde hebben. Wellicht is de AVG hier dan wel in het geding.
Bijlages in e.mail zijn niet de enige manier waarop deze ransomware wordt verspreid. Er zijn ook illegale versies van betaalde software in omloop die het virus bevatten. Het bestaat al maanden en verbetert telkens weer. Men schijnt overigens een 24 uurs helpdesk te hebben.. Handig
Deze rol SPREEK mij erg aan... Jajajajajaja.
Praat eens met de gemiddelde recruiter van een uitzendbureau of het UWV, zelfs mensen die van HBO of anderzijds afkomen komen nog met de meest schrikbarende sollicitaties en/of motivaties. Een kennis van mij heeft zelfs ooit als motivatie gekregen: "Geachte heer/mevrouw, ik wil graag aanspraak maken op deze baan omdat ik dit werk leuk vindt. Groetjes, Piet", men zal heus niet helemaal gaan struikelen over een typefout, tenzij de baan vereist dat jij het Nederlands ook goed in de vingers hebt.
Nou, Sky meneer, ik ben toch wel heel wat keertjes op taalfouten, echt hard afgewezen. Letterlijk zei men:
Beste...,
Bedankt voor je sollicitatie bij ons op de ICT functie....,
We hebben zeer veel reacties ontvangen ..., bla-bla

Je hebt een fantastisch CV, waaruit blijkt je kennis en ervaring niveau, maar, als we je begeleidingsbrief zien, en we constateren daar een aantal (2) Nederlandse spellings fouten, moeten we tegelijkertijd concluderen dat jou niveau niet zo hoog is als dat je aangeeft.
Daarom hebben we besloten niet verder met je te gaan, al vinden we jou CV toch zo bijzonder, maar bij ons staat kwaliteit in taal en communicatie erg hoog aangeschreven.
Dan zie je maar weer, dat de praktijk anders is. Ik ben in 1 jaar, 3x op spelling fouten, gecontroleerd, verbeterd en afgewezen.
Als dat de letterlijke reactie was van die recruiter dan is dat als een verwijt van de pot aan de ketel dat hij zwart ziet. Als ze het over jou niveau in plaats van jouw niveau hebben, dan is die kwaliteit in taal waar ze zo mee te koop lopen in de praktijk ook maar een wassen neus.
Het woord 'en' na een komma gebruiken is ook geen correct Nederlands.
De praktijk is niet anders, hij is divers. Allebei ons commentaar gaat op.
Nou ja voor het geheel is het ontbreken van een t niet echt zo heel slecht. Het is als het niet door een echte nederlander gedaan is wel de beste google translate ooit.
geloof me. deze mail is heilig bij wat ik af en toe voor begeleidende brief voorbij zie komen :P

[Reactie gewijzigd door heuveltje op 3 oktober 2018 17:45]

Wat ik me af vraag ben je nou al de sjaak als je een zip met meuk opent of moet je de file in de zip ook echt openen. Met het openen van een .zip heb je immers ook al zit er een .exe in de executable niet geopend voor bedrijven kan je dus lokaal makkelijk het gebruik van een .exe blokkeren via een reg tweak. Het is voor de tech dienst erg makkelijk on een usb stick met reg tweak .exe aan en .exe uit te maken voor als ze zelf wat moeten installeren. thuisgebruikers blijven lastig maarja daar is dit ook niet erg op gericht aangezien dit vrij persoonlijk gericht is.
Ik ben erg benieuwd wat er in de zip file zit zijn het .exe files wat makkelijk te herkennen is of hebben ze een andere vage manier van deze bagger installeren gevonden? De file is immers niet heel groot.


En overigens lijkt dit wel echt een nederlander die dit verstuurt aangezien het nerderlands te goed is voor google translate hehe. of in ieder geval heeft een nederlander er aan meegewerkt.

[Reactie gewijzigd door computerjunky op 3 oktober 2018 16:58]

If memory serves: in oude winrar-versies zit een bug waardoor een payload die achter een zip- of rar-file zit geactiveerd kan worden. Corrigeer mij gerust, ik ben niet helemaal op de hoogte.
En overigens lijkt dit wel echt een nederlander die dit verstuurt aangezien het nerderlands te goed is voor google translate hehe. of in ieder geval heeft een nederlander er aan meegewerkt.
Zo erg Nerdy klinkt het weer niet :+
De reden voor zip is om natuurlijk schadelijke bestanden te voorkomen dat deze in de mailserver doorkomen. Er kan in de zip een exe, pdf, excel of ouderwets .scr bestand zitten dat tenminste uitvoerrechten heeft. Dubbelklikken en klaar is kees, de tool neemt de pc ook nu over.
Bij gewone gebruikers staat "verberg de extentie " toch aan, weet niet of die het verschil zien.

Als het een nederlander is dan zeker 1 uit het stenen tijdperk, het woord positie wordt niet veel meer gebruikt volgens mij.
Volgens mij geeft iedere mail app gewoon de extentie weer. Alle die ik ooit bekeken heb in iedergeval wel. En in een archief of map kan je het zeker weten zien vanaf vista omdat bestandstype daar standaard zichtbaar is.
Het peobleem lijkt mij echter het totale gebrek aan kennis wat betreft risicos en bestandstypes.

En positie kan juist bewust gekozen zijn als er in de advertentie voor een baan gepraat word over een positie. Helaas hebben wij die info er niet bijgekregen.
Via google kan je ook al leuke sollicitatie brieven vinden. Copy --> Paste en versturen maar.
True maar dit lijkt toch echt specifiek aan 1 bedrijf gericht met een specifieke aanbieding van een baan via Stepstone.
Heb je dus geen vacature of geen vacature via stepstone open staan dan weet je al meteen dat hier een luchtje aan zit.
Dit moet dat ook handmatig naar 1 mail adres verstuurd zijn en geen bulk en is copy paste is niet zo makkelijk voor een niet nederlander.
Het bericht is zo algemeen dat die voor meerdere vacatures gebruikt kan worden. Er wordt niets gezegd over de functie dus stom gezegd zou je die zelf kunnen gebruiken voor de vacature putje schepper op zee. Zelfs de bedrijfsnaam wordt niet genoemd. Als je dus maar een account heb bij Stepstone kan je de email adres kopiëren of misschien zelfs op de knop drukken stuur email die dan outlook opent dan heb je al genoeg.
Dat is precies waarom ik gisteren argwaan kreeg bij deze e-mail.
De e-mail is netjes, in goed Nederlands opgesteld, een nette foto erbij etc. alleen die verwijzing naar Stepstone klopt niet omdat wij geen vacatures op Stepstone plaatsen.
Hwb zelf nog even verder gekeken maar deze persoon lijkt helemaal niet te bestaan. Tegenwoordig is bijna iedereen wel online te vinden maar er is maar 1 persoon met deze naam en die ziet wr anders uit en is duits. De rest met deze naam is overleden. Ool niet bijste slim of deze persoon heeft als 1 van de weinigen een zeer zeer kleine online vingerprint.
Ik vind mezelf niet in de eerste pagina's van google zoeken terug. Dit was wel m'n bedoeling, maar achteraf gezien weet ik niet of ik er trots op moet zijn.. ;(
Ik mezelf ook niet direct maar dat komt vooral door iemand met exact dezelfde naam (zijn er 3 van in nl) die nogal graag vindbaar is in op het internet. ik kom zelf pas voor met mijn naam op pagina 4 en dank niet eens met verdere informatie. behalve wat ik gekocht heb wat niet heel erg spannend is.
Klik ik echter op wat links op de eerste pagina krijg ik weer een overzicht met profielen waar ik wel op sta.
En bijna iedereen is wel onder zijn eigen naam op FB te vinden of linkedin of twitter.
Een beertje degelijke systeem kan dit toch echt oppikken. En de mensen moeten weten dat een sollicitatie vaak niet met een bijlage als in zip formaat komt.??
Mailtjes met een .zip bijlage komen bij ons zoiezo al niet door het spamfilter.
Bij jou filter. Er zijn duidelijk nog genoeg gebruikers die de bestanden liever niet filteren of filterregels hebben die minder streng zijn.
Gezien veel mensen een plaatje als bijlage in een .docx of nog beter een PowerPoint presentatie klappen verbaast me niet dat mensen in het bedrijfsleven niet nadenken over een zipje..
De gemiddelde ITer zal wel hopen dat er nog meer detailfoto's van haar in dat zipje zitten :+
Opvallend goed taalgebruik, voor een scam.
Wou ik ook zeggen inderdaad. Maar 1 fout, volgens mij is dat minder dan de gemiddelde sollicitatiebrief/motivatie haha.
Laat maar...ze kunnen beter spellen dan ik

[Reactie gewijzigd door KabouterSuper op 3 oktober 2018 17:52]

nou, er zit wel wat meer in. Tenzij je de mail stuurt naar bijvoorbeeld toneelgezelschap NUHR, is "deze rol" niet echt gebruikelijk in een sollicitatiebrief als je een bepaalde functie ambieert
Maar wie stuurt er nou een sollicitatie in een zip file mee..
dat is toch meestal gewoon een word file
Niet dat Word documenten een beter idee zijn...
Pdf zie je ook steeds meer, maar of dat nu veiliger is.
Persoonlijk gebruik ik altijd PDF voor dat soort dingen.
Ik stuur nooit Word files, en al helemaal niet naar recruiter-achtige types. Een PDF is wat ze kunnen krijgen, niet meer dan dat. Of die PDF gemaakt is met Word, Write, LaTeX of wat dan ook is niet relevant voor de onvanger.
Waarom überhaupt een bijlage?

De motivatie kan in de email zelf beschreven worden. En voor de CV lijkt me een link naar LinkedIn of eigen website met CV voldoende.

[Reactie gewijzigd door RoestVrijStaal op 3 oktober 2018 17:17]

Waarom Uberhaupt mailen?

Kan ook maandag ochtend met je spulletjes aankomen, en kijken of je mag blijven
Ach ja, het is toch hoofdzakelijk dommigheid toch?

Het klinkt misschien als een verrassing, maar zelfs de gemiddelde ICT'er trapt vaak genoeg in dit soort gein. Zoals ze ook nog altijd dubieuze tooltjes als CCleaner e.d. gebruiken.

:o
Ik had voor vage content vroeger altijd een oude pc waar ik het op downloadde en opende na unpluggen van het netwerk.
Echter ben ik zo aardig geweest om deze weg te geven dus nu delete ik vage content gewoon.
Maar ja het probleem blijft dat mensen geen flauw benul hebben van hoe je veilig moet browsen en internetten.
Persoonlijk heb ik al sinds 2008 geen virus scan, anti mallware, firewall of windows defender meer actief op mijn systeem omdat het gewoon zoveel vlotter reageert zo en ik zelf vooralsnog alles heb weten te onderscheppen. Maar voor menig persoon is dit blijkbaar te ingewikkeld omdat ze niet weten waar ze op moeten letten en stinken ze er nog altijd in.

CC cleaner is overigens een prima tool als je niks belangrijks op je pc heb staan. Voor velen is het een mooie manier van het legen van je temp en andere nutteloze bestanden. Sinds het hele lang leven de EU cookiewet debacle gebruik ik echter geen cleaners meer maar doe ik het handmatig omdat dat constant OK klikken en weer inloggen echt zwaar irritant is. (Maarehh lang leven de EU en F de burgers als ze er last van hebben.)
Zat hier niet een virus in??

https://www.consumentenbo...ccleaner-besmet-met-virus

Je weet blijkbaar niet dat een zoek opdracht in google of het bezoeken van een normale website die geinfecteerd is al genoeg is.
Tja dit kan bij bedrijven nou eenmaal gebeuren en soms moedwillig bijvoorbeeld lenovo die bewust meuk op zijn systemen meeleverde...
En cc cleaner moest je alsnog installeren je was niet de sjaak en door een zoekopdracht loop je echtnul risoco tenzij je het automatisch openen van een suggestie aan heb wat zoiezo al ontzetten dom is omdat je je keuzes dan laat bepalen door google.
De eniga manier van infecteren vis een website die ik gezien heb is het gebruik van adds Daarom heb ik ook meer dan 20 add servers wereldwijd geblockt in mijn router en dus kan ik deze sites gewoon openen zonder enig risico.
Als er een bug in de render engine van je browser zit, wat in het verleden regelmatig gebeurde, en je krijgt bij je zoek opdracht van welke zoek machine dan ook plaatjes te zien, dan ben je al de sjaak.

Ik heb een aantal POC van zero day exploits geprobeerd en die openen gewoon bv notepad zonder dat je iets download of uitvoert.
Soms zie je meldingen die 10 tallen miljoenen websites kwetsbaar maken, terwijl de de exploits al lang bekend zijn.
Kijk naar de laatste meltdow en spectre, daar mee kan een geinfecteerde site delen van je pc geheugen kopieeren, een anti malware product dat realtime scant kan de payload blokkeren of de verdachte actie rapporteren.

Je zou je iets meer moeten verdiepen in de materie.
Van alle jaren dat ik in de ICT werk zijn er steeds weer klanten van ons die het klaarspelen om zulke mails te openen zonder er even bij stil te staan van de inhoud. 99% wordt inderdaad tegengehouden maar je hebt altijd van die bobbies die alle trucken uit de doos halen om de inhoud te openen, al dan niet vanaf een privé pc
“al dan niet vanaf een privé pc”

Dat zal ze hopelijk leren :)

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True