Ransomware cybercriminelen introduceren zoekfunctie als extra afpersmiddel

Gepubliceerd op 13 juli 2022 om 07:00

Twee hackersgroepen hebben een nieuwe tactiek bedacht om hun slachtoffers te overtuigen om losgeld te betalen. Ze hebben een zoekfunctie aan hun site toegevoegd, waarmee gedupeerden gericht kunnen zoeken naar bestanden en data die door hackers zijn buitgemaakt. Mogelijk volgen meerdere groepen op korte termijn.

RaaS van BlackCat

Eén van de hackersgroepen die experimenteert met een doorzoekbare database is BlackCat. Deze groep, die ook wel ALPHV of Noberus wordt genoemd, is een zogeheten RaaS-groep. ‘RaaS’ staat Ransomware-as-a-Service. Het is simpel gezegd een verdienmodel van hackers en cybercriminelen. Ze ontwikkelen ransomware, die andere hackersgroepen tegen betaling kunnen huren om cyberaanvallen uit te voeren. Daarvoor krijgen de ontwikkelaars een deel van de opbrengst.

BlackCat kondigde afgelopen week aan dat ze een website met zoekfunctie had gecreëerd. Bedrijven en organisaties die getroffen zijn door de gijzelsoftware van de hackersgroep en weigeren het gevraagde losgeld te betalen, kunnen deze tool gebruiken om te achterhalen welke data de aanvallers hebben gestolen. Alle gegevens zijn geïndexeerd en afkomstig van het Collections-gedeelte van de dataleksite van de hackersgroep.

Gedupeerden hebben de mogelijkheid om te zoeken op bestandsnaam en -extensie. Tevens is de tool bedoeld voor hackers om het makkelijker voor ze te maken om wachtwoorden en andere vertrouwelijke informatie over bedrijven en organisaties te vinden.

Reden voor het doorzoekbaar maken van gestolen data is volgens de hackers een soort van extra service. Hierdoor zouden andere cybercriminelen makkelijker wachtwoorden of andere vertrouwelijke informatie vinden voor andere aanvallen.

Druk uitoefenen 

Het is niet de eerste keer dat BlackCat met een doorzoekbare database experimenteert. Half juni deed de hackersgroep dit ook met gegevens die ze gestolen zouden hebben van een hotel en spa in Oregon. Hotel- en spagasten en werknemers konden toen in een oogopslag zien of hun persoonlijke gegevens waren buitgemaakt tijdens de ransomware-aanval.

BleepingComputer benadrukt dat een nieuwe tactiek is slachtoffers van cyberaanvallen onder druk te zetten het gevraagde losgeld te betalen. Dan werkt op verschillende niveaus. Zo kan het slachtoffer schrikken van de hoeveelheid gestolen gegevens. Om publicatie op internet of massaclaim van gedupeerden te voorkomen, kan het bedrijf alsnog besluiten te betalen.

Een andere optie is dat klanten, leden of werknemers de zoektool gebruiken om te kijken of hun privégegevens zijn buitgemaakt. In dat geval kunnen ze bij het getroffen bedrijf aankloppen en vragen om het losgeld te betalen. Deze vorm van uitbuiting noemen we ook wel triple extortion.

Aantrekkelijke optie

De tweede hackersgroep die met een database met geïntegreerde zoekfunctie werkt, is LockBit. Zij onthulde vorige week een vernieuwde versie van hun dataleksite. De zoekfunctionaliteit is echter niet zo geavanceerd als die van BlackCat. Slachtoffers kunnen enkel op hun naam zoeken. Desondanks is het hierdoor mogelijk om gegevens een specifieke bedrijven te vinden.

Een derde groepering genaamd Karakurt is druk bezig om de zoekfunctie te ontwikkelen. Deze functionaliteit staat echter nog in de kinderschoenen en werkt nog niet naar behoren.

“Data-afpersers beginnen nu pas de zoekfunctie te verkennen. Het is onduidelijk of het doorzoekbaar maken van gestolen gegevens een succesvolle tactiek is, maar nu meerdere afpersingsbendes er gebruik van maken, lijkt het een aantrekkelijke optie te zijn”, aldus de Amerikaanse techsite.

Bron: anoniem, bleepingcomputer.com, vpngids.nl

Cybercriminelen blijven op het netwerk van slachtoffers actief

Cybercriminelen die organisaties met ransomware infecteren blijven na het versleutelen van systemen op de netwerken van hun slachtoffers actief en lezen mee met de berichten die worden ontvangen en verstuurd. Iets wat gevolgen heeft voor de manier waarop getroffen bedrijven met de infectie en het herstel moeten omgaan.

Lees meer »

Koninklijke Reesink: waarschijnlijk gaat het om miljoenen euro’s

De Nederlandse landbouwdistributeur 'Royal Reesink' is slachtoffer geworden van een aanval met ransomware. Het Apeldoornse bedrijf, dat in 10 landen vestigingen heeft en in 2019 een omzet had van bijna 1 miljard euro, lag sinds begin juni plat. Zeventig procent van de 35 aangesloten bedrijven werd geraakt door de digitale aanval. 

Lees meer »

IT bedrijf moet ransomware schade door zwakke beveiliging betalen

Een it-bedrijf dat netwerkbeheer voor een Hilversums administratiekantoor uitvoerde moet de schade door een ransomware-infectie grotendeels vergoeden, zo heeft de rechtbank Amsterdam bepaald. Het gaat om een bedrag van ruim 10.000 euro, alsmede de proceskosten van 3.100 euro. Tevens hoeft het administratiekantoor de herstelwerkzaamheden die het it-bedrijf verrichtte niet te betalen.

Lees meer »

6 miljoen dollar nog niet voldoende voor cybercriminelen achter REvil ransomware

De bende achter de beruchte REvil-ransomware, ook bekend als Sodinokibi, is begonnen met het veilen van de data die bij een slachtoffer is gestolen. Volgens de FBI hebben slachtoffers van deze ransomware al meer dan 6 miljoen dollar betaald voor het ontsleutelen van hun bestanden. Net als verschillende andere ransomwaregroepen besloot de REvil-bende om data van slachtoffers niet alleen te versleutelen, maar ook te stelen.

Lees meer »