Ransomware als eerste payload maakt een comeback

  1. 1 jul 2020
  2. 0 reacties

In de afgelopen maand hebben onderzoekers van Proofpoint een toename van e-mail-gebaseerde ransomware-aanvallen waargenomen waarbij ransomware al in de eerste fase werd gebruikt. Dit is opmerkelijk, omdat de afgelopen jaren aanvallers de voorkeur gaven aan downloaders in de eerste fase van een aanval. Deze downloaders leveren vervolgens ransomware in de tweede of latere fase. Dat ransomware steeds vaker in de eerste fase van een aanval wordt verzonden, kan de terugkeer van grote ransomware-campagnes inluiden die we in 2018 hebben gezien. 

Ransomware
 
Deze aanvallen hadden betrekking op veel verschillende ransomware-families en waren gericht op tal van industrieën in de Verenigde Staten, Frankrijk, Duitsland, Griekenland en Italië. Ze maken vaak gebruik van misleidende berichten in de moedertaal. Enkele voorbeelden van ransomware-families die Proofpoint tot nog toe heeft gezien: 

  • Avaddon (een nieuwe soort) 
  • Buran (genoemd naar de Russische spaceshuttle) 
  • Darkgate 
  • Philadelphia (iets wat Proofpoint al in 2017 heeft gezien) 
  • Robot 
  • Ranion 

Elk van deze ransomware-families versleutelt de bestanden van het slachtoffer en tegen betaling worden de gegevens weer vrijgegeven. 
 
Dagelijkse volumes varieerden van één tot maar liefst 350.000 berichten per campagne. Tussen 4 en 10 juni 2020 waren er meer dan een miljoen berichten die de Avaddon-ransomware bevatten. De Proofpoint-onderzoekers hebben diverse thema's gezien in deze ransomware-berichten, waaronder enkele die gebruikmaken van COVID-19. Tal van branches waren hierbij het doelwit, waaronder onderwijs, productie, transport, entertainment, technologie, gezondheidszorg en telecommunicatie.