FBI: HelloKitty-ransomwaregroep gebruikt ddos-aanvallen als afpersingstechniek

De FBI waarschuwt dat de hackgroep genaamd HelloKitty ook ddos-aanvallen inzet om geld van slachtoffers af te persen. Dat gebeurt naast afpersing via het versleutelen van systemen en het openbaar maken van bestanden. Hoe vaak dat voorkomt is niet bekend.

De HelloKitty-groep zou 'in sommige gevallen' ddos-aanvallen lanceren op de publieke websites van afgeperste organisaties indien ze het geëiste losgeld weigeren te betalen of niet op tijd reageren, stelt de FBI in een openbaar waarschuwingsbericht. De Amerikaanse politiedienst schrijft niet hoe vaak dat in de praktijk voorkomt. Beveiligingsexperts voorspellen al een paar jaar dat ransomwarecriminelen ook ddos-aanvallen zullen inzetten als extra pressiemiddel, maar in de praktijk komt dat nog maar weinig voor.

Het losgeldbedrag dat de groep vraagt verschilt slachtoffer, schrijft de FBI, vergelijkbaar met hoe de meeste ransomwarebendes anno 2021 opereren. Opvallend is wel dat de groep niet alleen dreigt met openbaarmaking van de data, maar die in sommige gevallen ook wil verkopen aan tussenhandelaren. Meestal wordt gestolen data simpelweg op internet gezet.

De hackersgroep weet met de HelloKitty-ransomware, ook wel FiveHands-ransomware genoemd, bedrijven te infecteren die gebruik maken van SonicWall-producten. Daarvoor gebruiken de aanvallers gecompromiteerde inloggegevens of bekende softwarekwetsbaarheden.

Reacties (11)

himlims_ 2 november 2021 11:05

[..] boeiend

dit gebeurd toch al jaren? Maakt nu uit wat voor labeltje die groep draait, voor die groep zijn er 10 andere net zo actief

TijsZonderH Nieuwscoördinator @himlims_ • 2 november 2021 12:24

dit gebeurd toch al jaren

Juist niet dus. Experts waarschuwen er al jaren voor maar in de praktijk komen ddos-aanvallen bovenop een ransomware-infectie amper voor

himlims_ @TijsZonderH • 2 november 2021 13:07

volgens mij heet het een blended attack - of afgeleide daarvan;

2014; DD4BC druk bezig met ddos om kracht bij te zetten voor encryptie data
2015; Armada Collective - ddos erop los samen met ransomware
2020; Avaddon - zelfde verhaal, ddos om kracht bij te zetten na encrypten data
2020; Lazarus Bear, richt zich op medische tak ddos + ransom

https://www.infosecurity-.../ransomware-teaming-ddos/

kan wel verder gaan graven, maar beeld dat geschets wordt dat dit 'nieuw' is - is niet geheel correct. vandaar mijn iets wat sarcastische post

//edit;
2016 WODC nog artikel over geschreven 'Cybermetrics 2016' hoe deze 'aanvallen' goed samen gaan

[Reactie gewijzigd door himlims_ op 22 juli 2024 19:15]

TijsZonderH Nieuwscoördinator @himlims_ • 2 november 2021 13:10

Nee natuurlijk is het niet nieuw, er zijn vaak genoeg dat soort dingen voorgekomen. Maar het gebeurt ook niet op grote schaal, en dat de FBI er dan ook nu voor waarschuwt maakt het nieuwswaardig. Het is niet de eerste keer, maar wel opvallend genoeg. En het staat ook gewoon in het artikel:

Beveiligingsexperts voorspellen al een paar jaar dat ransomwarecriminelen ook ddos-aanvallen zullen inzetten als extra pressiemiddel, maar in de praktijk komt dat nog maar weinig voor.

SunnieNL

@himlims_ • 2 november 2021 11:55

de combinatie gebeurd juist niet al jaren... Ja, er is al jaren ransomware en ja er is al jaren ddos.
Wat ze nu doen is eerst encrypten en als de betaling niet snel genoeg komt ook nog een ddos op de systemen. Dat komt blijkbaar tot op heden nauwelijks voor en ik kan mij voorstellen dat het goed werkt.
Je bent als target al druk bezig de problemen van de malware te verhelpen om vervolgens ook de andere systemen down te zien gaan omdat er een ddos plaatsvind. Je kunt je aandacht maar op 1 zaak vestigen.

The Zep Man

Networking en security
Hackers

2 november 2021 11:07

Waarom is het een 'ransomwaregroep' als ze niet enkel/voornamelijk ransomware doen? Ik lees over het verkrijgen en verkopen van data, en dat ze ook DDoS aanvallen gebruiken.

Noem het wat het is: een criminele organisatie.

Verwijderd @The Zep Man • 2 november 2021 12:03

De HelloKitty-groep zou 'in sommige gevallen' ddos-aanvallen lanceren

De hackersgroep weet met de HelloKitty-ransomware, ook wel FiveHands-ransomware genoemd, bedrijven te infecteren die gebruik maken van SonicWall-producten

Als een groep studenten 1x in de week samen voetbal speelt is het nog steeds een groep studenten

Bulkzooi 2 november 2021 11:13

Dergelijke nieuwsberichten lijken tegenwoordig meer op advertenties, dit keer betreffende SonicWall. Echter, het betreft allemaal generieke problemen die al jáááren bestaan. Lag cybersecurity te slapen of zo? Iedereen weet ondertussen wel dat je voor een kwartje een handig scriptkiddie uit Bangladesh kan inhuren. Dat was 2 decennium geleden ook al zo.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 19:15]

capronicus @Bulkzooi • 2 november 2021 13:49

Er zijn heel veel bedrijven die daar of gewoon niet van wakker liggen, of daar de middelen niet voor hebben, of er gewoon geen geld aan willen spenderen (tot het te laat is natuurlijk)
Wij hebben zo 100'en klanten, we proberen ze zo goed als het kan te beschermen (zo plaatsen en configureren we hun firewall, leggen uit hoe hun vpn werkt, adviseren wachtwoordmanagers ipv iedere keer hetzelfde ww te gebruiken of ze op te schrijven op een post-it, voorzien backups (lokaal en off-site) etc...

Maar dat onderhouden is al vaak de kost teveel, we proberen dan toch af en toe onder het mom van "jaarlijks onderhoud" toch even de zaken na te kijken, maar voor ons is het ook niet haalbaar om tijd te steken in iets waar we niet voor betaald worden. Op het einde van de dag leveren we systemen 'as-is' en ligt de eindverantwoordelijkheid bij de klant (die er overigens voor tekent + de nodige uitleg krijgt).

En dan krijg je van die situaties waar een computer gestolen wordt, encryptie? niks, wachtwoord? stond er niet op... dan liggen alle opgeslagen wachtwoorden, de hele boekhouding en wat nog gewoon op straat. Met wat geluk interesseert de dief zich daar niet in en gebeurt er verder niets.

Over het algemeen valt het gelukkig nog mee bij ons, en komen dit soort situaties zéér zelden voor, die enkele cryptolocker dat er ergens wordt binnengehaald is over het algemeen vlot opgelost. Maar soms verbaas ik mij er wel over dat we niet vaker met zo'n incidenten te maken hebben, gezien de algemene kennis en attitude rondom security.

Vorige week nog een klant (particulier in dit geval) gehad, waarvan zijn wachtwoord gelekt was, sessies uitgelogged, alle ww'en waren hetzelfde dus overal een uniek op ingesteld. Een week later had 'ie hetzelfde probleem, bleek dat 'ie gewoon zijn oud wachtwoord opnieuw ingesteld had...

Nimja 2 november 2021 11:14

Deze bende is nu super blij dat de FBI het publiekelijk meld. Hele goede reclame voor deze boeven.

Doet mij denken aan de piraten videos van CGPGrey

Tyrian 2 november 2021 13:05

Hello Kitty. Klinkt toch net wat vriendelijker als bijvoorbeeld ReEvil of DarkSide.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (11)

Sorteer op:

Weergave: