{"id":28141,"date":"2022-03-02T13:44:44","date_gmt":"2022-03-02T11:44:44","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=28141"},"modified":"2022-05-05T13:59:06","modified_gmt":"2022-05-05T11:59:06","slug":"hermeticransom-hermeticwiper-attacks-2022","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/hermeticransom-hermeticwiper-attacks-2022\/28141\/","title":{"rendered":"Ransomware als afleiding"},"content":{"rendered":"

Onze onderzoekers hebben de HermeticRansom-malware, ook bekend als Elections GoRansom, geanalyseerd. Over het algemeen gaat het hier om een vrij eenvoudige cryptor. Wat in dit geval interessant is, is het doel waarvoor aanvallers het gebruiken.<\/p>\n

Doelen van HermeticRansom<\/h2>\n

HermeticRansom viel computers aan op hetzelfde moment als een ander soort malware dat bekend staat als HermeticWiper, en op basis van openbaar beschikbare informatie van de beveiligingsgemeenschap werd deze malware gebruikt bij recente cyberaanvallen in Oekra\u00efne. Volgens onze experts suggereren de relatieve eenvoud en de twijfelachtige implementatie van de malware-workflow dat HermeticRansom werd gebruikt als rookgordijn voor HermeticWiper-aanvallen.<\/p>\n

Waar HermeticRansom toe in staat is<\/h2>\n

Zodra de malware de computer van het slachtoffer infecteert, identificeert het eerst de harde schijven en verzamelt het een lijst van mappen en bestanden die zich overal bevinden, behalve in de mappen Windows en Program Files. Het versleutelt vervolgens bepaalde categorie\u00ebn bestanden en geeft ze een nieuwe naam met de tag .encrypted en het e-mailadres van de ransomware-operators. De malware maakt ook een read_me.html-bestand aan in de Desktop-map met daarin een losgeldbericht met de contactgegevens van de aanvallers. Het losgeldbericht ziet er zo uit:<\/p>\n

\"\"

Losgeldbericht achtergelaten door HermeticRansom-malware<\/p><\/div>\n

HermeticRansom versleutelt bestanden met de volgende extensies: .inf, .acl, .avi, .bat, .bmp, .cab, .cfg, .chm, .cmd, .com, .crt, .css, .dat, .dip, .dll, .doc, .dot, .exe, .gif, .htm, .ico, .iso, .jpg, .mp3, .msi en odt.<\/p>\n

Eigenaardigheden van HermeticRansom<\/h2>\n

HermeticRansom is geschreven in Golang. Het maakt geen gebruik van verduisteringsmechanismen, en de encryptiemethode zelf is nogal omslachtig en ineffici\u00ebnt. Te oordelen naar deze en enkele andere tekenen, denken onze experts dat deze malware in haast is gemaakt.<\/p>\n

U kunt een meer gedetailleerde technische analyse van de malware vinden, samen met de indicators of compromise<\/em> op ons Securelist-blog.<\/a><\/p>\n

Zo blijft u veilig<\/h2>\n

Kaspersky Lab-beveiligingsoplossingen detecteren met succes HermeticRansom-malware en soortgelijke bedreigingen. We hebben een reeks hulpmiddelen om zowel thuiscomputers als bedrijfsinfrastructuur te beschermen, waaronder:<\/p>\n