AlumniLocker Ransomware
Infosec-onderzoekers hebben een nieuwe krachtige ransomware-dreiging ontdekt die is gebaseerd op de eerder gedetecteerde Thanos (Tycoon) Ransomware. Deze nieuwe variant van de Thanos Ransomware heet AlumniLocker Ransomware en vertoont een aantal ongebruikelijke kenmerken die erop kunnen duiden dat de groep die ervoor verantwoordelijk is nog vrij onervaren is in het uitvoeren van ransomware-aanvalscampagnes.
Als eerste inbreukvector gebruikt AlumniLocker phishing-e-mails met beschadigde pdf-bijlagen. De hoofdtekst van de e-mail en het bijgevoegde bestand zijn ontworpen om op een belangrijke factuur te lijken in een poging om de doelgebruiker ertoe te brengen het bestand zo snel mogelijk te openen. In de nepfactuur-pdf vinden gebruikers een link die, wanneer erop wordt geklikt, een ZIP-archief met een downloader op hun computer neerzet.
De AlumniLocker-payload wordt vervolgens opgehaald en uitgevoerd door een PowerShell-script dat is vermomd als een JPG-bestand. De methode voor het starten van de ransomware maakt misbruik van een Background Intelligent Service Transfer (BITS) -module. Eenmaal geïmplementeerd, zal de dreiging de bestanden van het slachtoffer versleutelen en '.alumni' aan hun oorspronkelijke naam toevoegen als een nieuwe extensie. Na voltooiing van de versleutelingsroutine wordt een tekstbestand met instructies voor het slachtoffer gegenereerd.
Dit is wanneer het eerste eigenaardige aspect van de AlumniLocker Ransomware verschijnt. Blijkbaar willen de cybercriminelen de som van 10 Bitcoin ontvangen als ze de decoderingstool naar hun slachtoffers willen sturen. De prijs van Bitcoin is berucht om zijn vluchtigheid, maar bij het huidige tempo zijn 10 bitcoins meer waard dan $ 500.000, een bedrag dat maar weinig individuen of zelfs organisaties hebben rondslingerend. De hackers lijken ook een idee te hebben van deze realiteit, aangezien ze ook een back-upplan voor chantage hebben. Slachtoffers worden gewaarschuwd dat als ze het losgeld niet binnen 48 uur betalen, de informatie die is verzameld via het systeem dat is gecompromitteerd door AlumniLocker, openbaar zal worden gemaakt op een speciaal ontworpen website. Het volgen van de link laat echter zien dat op het moment dat AlumniLocker werd ontdekt, de website niet toegankelijk was.
Het exorbitante losgeld in combinatie met de niet-functionele lekwebsite zijn tekenen dat de hackergroep achter AlumniLocker nog in de kinderschoenen staat.
