Ransomware als afleiding

Onze onderzoekers hebben de HermeticRansom-malware, ook bekend als Elections GoRansom, geanalyseerd. Over het algemeen gaat het hier om een vrij eenvoudige cryptor. Wat in dit geval interessant is, is het doel waarvoor aanvallers het gebruiken.

Doelen van HermeticRansom

HermeticRansom viel computers aan op hetzelfde moment als een ander soort malware dat bekend staat als HermeticWiper, en op basis van openbaar beschikbare informatie van de beveiligingsgemeenschap werd deze malware gebruikt bij recente cyberaanvallen in Oekraïne. Volgens onze experts suggereren de relatieve eenvoud en de twijfelachtige implementatie van de malware-workflow dat HermeticRansom werd gebruikt als rookgordijn voor HermeticWiper-aanvallen.

Waar HermeticRansom toe in staat is

Zodra de malware de computer van het slachtoffer infecteert, identificeert het eerst de harde schijven en verzamelt het een lijst van mappen en bestanden die zich overal bevinden, behalve in de mappen Windows en Program Files. Het versleutelt vervolgens bepaalde categorieën bestanden en geeft ze een nieuwe naam met de tag .encrypted en het e-mailadres van de ransomware-operators. De malware maakt ook een read_me.html-bestand aan in de Desktop-map met daarin een losgeldbericht met de contactgegevens van de aanvallers. Het losgeldbericht ziet er zo uit:

Losgeldbericht achtergelaten door HermeticRansom-malware

HermeticRansom versleutelt bestanden met de volgende extensies: .inf, .acl, .avi, .bat, .bmp, .cab, .cfg, .chm, .cmd, .com, .crt, .css, .dat, .dip, .dll, .doc, .dot, .exe, .gif, .htm, .ico, .iso, .jpg, .mp3, .msi en odt.

Eigenaardigheden van HermeticRansom

HermeticRansom is geschreven in Golang. Het maakt geen gebruik van verduisteringsmechanismen, en de encryptiemethode zelf is nogal omslachtig en inefficiënt. Te oordelen naar deze en enkele andere tekenen, denken onze experts dat deze malware in haast is gemaakt.

U kunt een meer gedetailleerde technische analyse van de malware vinden, samen met de indicators of compromise op ons Securelist-blog.

Zo blijft u veilig

Kaspersky Lab-beveiligingsoplossingen detecteren met succes HermeticRansom-malware en soortgelijke bedreigingen. We hebben een reeks hulpmiddelen om zowel thuiscomputers als bedrijfsinfrastructuur te beschermen, waaronder:

• Kaspersky Internet Security: onze multi-platform beveiligingsoplossing voor thuisgebruikers;
• Kaspersky Endpoint Security Cloud: onze oplossing voor bedrijfsbescherming;
• Kaspersky Anti-Ransomware Tool: onze gratis bedrijfsoplossing die als een extra beschermingslaag kan werken n combinatie met producten van andere leveranciers.