DemonWare-ransomware

De DemonWare Ransomware (ook bekend als Black Kingdom en DEMON) is ontworpen om gerichte bestandstypen te vergrendelen met behulp van een onkraakbaar cryptografisch algoritme. Hoewel de dreiging niet een van de meest geavanceerde ransomware is die er is, kan het zeker nog steeds de klus klaren als het met succes op de computer van potentiële slachtoffers wordt afgeleverd. Opgemerkt moet worden dat de auteur van deze specifieke dreiging deze openbaar heeft gemaakt door de code op GitHub te uploaden.

Aan de bestanden die door de dreiging worden getroffen, wordt '.DEMON' als nieuwe extensie aan hun oorspronkelijke naam toegevoegd. Nadat het versleutelingsproces is voltooid, levert de DemonWare Ransomware een identieke losgeldbrief als een pop-upvenster en in een tekstbestand met de naam 'README.txt'. De basisversie van de dreiging vroeg niet om geld om de versleutelde gegevens te ontgrendelen. In plaats daarvan geeft het zijn slachtoffers opdracht om de link te openen die in de losgeldbrief wordt vermeld en op de website naar hun specifieke sleutel te zoeken. De notities waarschuwen dat slachtoffers 10 uur de tijd hebben om hun bestanden te ontgrendelen nadat de versleutelde gegevens onherstelbaar worden.

DemonWare wordt gebruikt in een amateuristisch aanvalsplan

Ransomware-aanvallen zijn een lucratief vooruitzicht geworden voor cybercriminelen. Meerdere ransomwarebendes konden spraakmakende organisaties binnendringen en miljoenen ontvangen om de versleutelde systemen vrij te maken. Andere hackerbendes besloten om meer achterover te leunen en volwaardige ransomware-bedreigingen aan te bieden in een RaaS-schema (Ransomware-as-a-Service). Kortom, ze leveren het malware-arsenaal in ruil voor een deel van het uiteindelijke losgeld, terwijl hun 'klanten' verantwoordelijk zijn voor de daadwerkelijke aanvallen.

Met verschillende ransomware-inbreuken die door de reguliere media worden behandeld, lijkt het erop dat nu allerlei criminelen in de verleiding komen om hun kansen te proberen. Een dergelijke aanvalsoperatie die werd ontdekt door infosec-onderzoekers, probeerde social engineering-tactieken te gebruiken om de DemonWare Ransomware te leveren. Welnu, de term 'social-engineering-tactieken' wordt hier nogal losjes gebruikt - de aanvaller vond potentiële doelen via LinkedIn en andere openbaar beschikbare bronnen en stuurde ze rechtstreeks een bericht. De medewerkers werd gevraagd of ze het interne netwerk van hun organisatie wilden afleveren in ruil voor een miljoen dollar, een korting van 40% op het potentiële losgeld van 2,5 miljoen dat de aanvaller zou eisen.

Hoewel het uiterst onwaarschijnlijk is dat deze specifieke poging ooit zal slagen, legt het wel de nadruk op potentiële beveiligingsrisico's waarmee organisaties mogelijk rekening moeten houden bij het opstellen van hun cyberbeveiligingsplan.