AvosLocker-ransomware
Onderzoekers van Infosec ontdekten een nieuwe ransomware-operatie die ze AvosLocker noemden. De hackergroep lijkt rond juni 2021 actief te zijn geworden en heeft in slechts een paar maanden tijd verschillende slachtoffers weten te maken. De cybercriminelen geven de namen van hun slachtoffers vrij op een speciale leksite die wordt gehost op het Tor-netwerk. De site bevat twee secties: 'Public Service Announcements' en 'Leaks'. Alle geschonden entiteiten, samen met het bewijs van de gegevens die van hen zijn verzameld, worden weergegeven op de pagina 'Aankondiging van de openbare dienst'. De AvosLocker-groep gebruikt spam-e-mailcampagnes die lokaas-e-mails verspreiden, evenals beschadigde advertenties als initiële infectievectoren voor de levering van de ransomware-dreiging.
Details van AvosLocker Ransomware
De ingezette ransomware-dreiging is geschreven in C++ en maakt gebruik van een aangepaste versie van het AES-256 cryptografische algoritme om de bestanden te vergrendelen die zijn opgeslagen op de gehackte systemen. De malware is ontworpen om Windows-machines te infecteren en wordt niet uitgevoerd op andere platforms. Als onderdeel van zijn bedreigende mogelijkheden kan de AvosLocker Ransomware de schaduwvolume-kopieën van de getroffen bestanden verwijderen, evenals specifieke toepassingen beëindigen die het coderingsproces kunnen verstoren. Bij het versleutelen van een bestand voegt AvosLocker '.avos' toe aan de oorspronkelijke naam van dat bestand als een nieuwe extensie. Zoals de meeste bedreigingen van dit type, levert de AvosLocker Ransomware ook een losgeldbrief met instructies voor zijn slachtoffers. Het bericht wordt neergezet als een tekstbestand met de naam 'GET_YOUR_FILES_BACK.txt'.
De eisen van AvosLocker
Het blijkt dat de losgeldbrief zelf weinig nuttige informatie bevat. Het moedigt de slachtoffers van de dreiging meestal aan om een TOR-website te bezoeken om alle aanvullende instructies te krijgen. Het volgen van de verstrekte link en het invoeren van de specifieke slachtoffer-ID, leidt naar een 'betalings'-pagina. Hier kunnen slachtoffers een afteltimer zien die de resterende tijd meet voordat het door de hackers gevraagde bedrag wordt verdubbeld. Het losgeld moet worden overgedragen met behulp van de Monero-cryptocurrency.
Voordat ze betalen, kunnen slachtoffers echter een voorbeeldbestand naar de site uploaden om te testen of de hacker de vergrendelde gegevens kan ontsleutelen. De webpagina bevat ook een supportchat waarmee getroffen gebruikers zogenaamd contact kunnen opnemen met de AvosLocker-hackers.
Het wordt ten zeerste afgeraden om elk bedrag aan ransomware-operators te betalen. Gebruikers kunnen zichzelf blootstellen aan extra beveiligingsrisico's terwijl ze de volgende dreigende operatie van de cybercriminelen in het proces financieren.
