Van versleutelen naar vernietigen

Nieuwe trend bij ransomware?

Maanden terug schreef ITchannelPRO al dat Tesorion en anderen waarschuwden voor acties waarbij het vernietigen van data voorop stond. Inmiddels lijkt er een variatie gesignaleerd te zijn. Ransomware waarbij de data op locatie van het slachtoffer blijvend wordt beschadigd.

Bewuste strategie

ransomware - cryptowareVolgens Symantec , Crowdstrike en anderen is er sprake van een toename van ransomware aanvallen waarbij diefstal en vernietiging hand in hand gaan. De slachtoffers zien in het beste geval nog wel data op de servers staan, maar die is op geen enkele wijze meer te herstellen. Schijnbaar ook niet na het betalen van het “losgeld”.

Men vermoedt dat dit een bewuste strategie van de cybercriminelen is. Als zij de aanwezige data echt kapot maken kunnen de encrypters die politiediensten en bedrijven aanbieden geen rol meer vervullen. Bedrijven kunnen – als het goed is – dan nog wel op een oude back-up terugvallen, maar de meest actuele data is blijvend verdwenen.

De enige manier waarop ze daar nog over kunnen beschikken is het alsnog betalen van losgeld. Want de cybercriminelen hebben voordat ze overgingen tot de digitale verwoesting wel eerst de data gekopieerd.

Onduidelijk is op dit moment waar die kopieën worden opgeslagen. Dit moet voor forensische onderzoekers te achterhalen zijn, ook als de logs van de aangevallen servers zijn gewist.

Geen nieuwe bedrieging, maar…

Deze variatie op het thema ransomware versleutelen is ergerlijk, maar op zich geen totaal nieuwe bedreiging. Het blijft zaak veel back-ups te maken, die keer op keer te controleren en zorgen dat deze air-gapped wordt opgeslagen. Daarmee wordt de impact van een aanval geminimaliseerd. Parallel daaraan is permanente beveiliging en monitoring van hardware en netwerken een must.

Als het geen nieuwe bedreiging is, waarom wordt deze variatie dan apart beschreven? Dat komt omdat de aanvallers de indruk wekken dat de data niet versleuteld is. Het slachtoffer kan dus denken dat de aanval op tijd is afgeweerd. Pas als hij de beschadigde dataset raadpleegt zal hij merken dat die opluchting onterecht is. Dan zal ook doordringen dat de aanvallers nog steeds in zijn netwerk aanwezig kunnen zijn.

Mobiele versie afsluiten