Himalaya Ransomware

Een reeks ransomware-aanvallen op spraakmakende doelen zoals Colonial Pipeline bracht ongekende aandacht voor de operaties van ransomware-bendes, zowel van overheidsinstellingen als particuliere infosec-entiteiten. Verschillende Russische hackforums zagen zich genoodzaakt om alle onderwerpen of advertenties met betrekking tot ransomware-bedreigingen te verbieden om de extra controle die ze zouden kunnen veroorzaken te vermijden. Ransomware-bendes verloren plotseling een van hun betere methoden om programmeurs in te huren en partners aan te trekken. Terwijl ze op zoek waren naar oplossingen, besloten enkele hackerscollectieven om hun dreigende creaties en RaaS-schema's (Ransomware-as-a-Service) op hun eigen websites te adverteren.

De Himalaya Ransomware-groep nam deze tactiek snel over en publiceerde een advertentie voor hun diensten op hun website. De groep is een relatief nieuwe bedreigingsacteur op het gebied van ransomware die begin 2021 lijkt te zijn opgericht. De voorwaarden die op hun website worden vermeld, lijken overeen te komen met wat de norm is voor RaaS-groepen. Himalaya biedt aan zijn filialen te voorzien van een volledig geconfigureerde en gecompileerde FUD (Fully Undetectable) ransomware-bedreiging die zowel x64- als x86-Windows-systemen kan beïnvloeden en het AES 256-cryptografische algoritme gebruikt voor het versleutelingsproces. In ruil daarvoor krijgt Himalaya 30% van alle ontvangen losgeld.

De hackers leggen echter een aantal strikte regels op die hun gelieerde ondernemingen moeten volgen. Blijkbaar zijn de Himalaya-hackers sociaal bewust of willen ze gewoon mogelijke gevolgen vermijden, dus verbieden ze de inzet van hun ransomware-dreiging tegen gezondheidsinstellingen, openbare organisaties en non-profitorganisaties. Alleen particuliere bedrijven en individuen zijn toegestaan als geldig doelwit.