Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Ransomware Mortar Ransomware

Mortar Ransomware

Tegen Mezo in Ransomware
Vertalen naar:

Malware blijft een van de grootste cyberbeveiligingsdreigingen voor zowel organisaties als particulieren. Moderne ransomware-aanvallen kunnen bedrijfsactiviteiten verstoren, aanzienlijke financiële verliezen veroorzaken en gevoelige informatie binnen enkele uren in gevaar brengen. Naarmate ransomwaregroepen steeds geavanceerder worden, is het handhaven van sterke beveiligingsmaatregelen en proactieve verdediging essentieel voor de bescherming van waardevolle gegevens en het waarborgen van de bedrijfscontinuïteit.

Mortar Ransomware in vogelvlucht

Mortar Ransomware is een malwarevariant die bestanden versleutelt en is ontdekt door cybersecurityonderzoekers. De dreiging is primair gericht op bedrijfsomgevingen, waar aanvallers de operationele verstoring willen maximaliseren en de druk op slachtoffers willen verhogen om losgeld te betalen. Eenmaal geïnstalleerd in een gecompromitteerd netwerk, versleutelt Mortar bestanden en laat een losgeldbericht achter met de unieke identificatiecode van het slachtoffer, in de vorm 'README-[ID van het slachtoffer].txt'.

Een opvallend kenmerk van deze ransomware is het hernoemen van bestanden. Tijdens de versleuteling voegt Mortar een unieke slachtoffer-ID toe aan elk getroffen bestand. Een bestand met de oorspronkelijke naam '1.png' kan bijvoorbeeld '1.png.4RcrXfvVksS5ACA' worden, terwijl een document als '2.pdf' kan worden omgezet in '2.pdf.4RcrXfvVksS5ACA'. Dezelfde identificatiecode wordt vervolgens gebruikt in de bestandsnaam van de losgeldnota, waardoor een directe link ontstaat tussen het slachtoffer en de aanval.

Versleutelingsproces en losgeldeisen

Na infiltratie in een netwerk versleutelt Mortar een breed scala aan gegevens, waaronder documenten, databases, foto's en andere waardevolle bedrijfsbestanden. In de losgeldnota wordt beweerd dat de aanvallers de encryptiealgoritmen AES-256 en RSA-2048 hebben gebruikt om de informatie van het slachtoffer te vergrendelen. Hoewel dergelijke beweringen gebruikelijk zijn bij ransomware-aanvallers, blijft het uiteindelijke doel hetzelfde: gegevens ontoegankelijk maken zonder de bijbehorende decryptiesleutel.

In de losgeldnota wordt slachtoffers meegedeeld dat de enige manier om hun bestanden terug te krijgen is door een decryptietool van de aanvallers te kopen. In plaats van een vast losgeldbedrag te noemen, verwijzen de criminelen slachtoffers naar een Tor-portaal en verstrekken ze inloggegevens bestaande uit een gebruikersnaam en wachtwoord. Deze aanpak stelt de aanvallers in staat om individueel over betalingen te onderhandelen en de losgeldeisen mogelijk aan te passen op basis van de geschatte waarde van de slachtofferorganisatie.

Kunnen versleutelde bestanden worden hersteld?

Het herstellen van bestanden die door ransomware zijn versleuteld, is vaak extreem moeilijk zonder toegang tot het decryptiemechanisme van de aanvallers. In zeldzame gevallen ontdekken cybersecurityonderzoekers implementatiefouten of cryptografische zwakheden die het mogelijk maken om gratis decryptieprogramma's te ontwikkelen. Dergelijke gevallen zijn echter zeldzaam en slachtoffers van goed ontworpen ransomware hebben vaak beperkte mogelijkheden om hun bestanden te herstellen.

Het betalen van losgeld wordt over het algemeen beschouwd als een risicovolle beslissing. Cybercriminelen zijn niet verplicht om na ontvangst van de betaling een werkend decryptieprogramma te leveren. Veel slachtoffers hebben meegemaakt dat het geld wel werd overgemaakt, maar dat de herstelprogramma's nooit werden geleverd, of dat de geleverde programma's er niet in slaagden de gegevens te herstellen. Betaling kan dus leiden tot extra financieel verlies zonder garantie op bestandsherstel.

Infectievectoren en aanvalstechnieken

Mortar kan slachtoffers bereiken via verschillende aanvalsmethoden die vaak worden gebruikt bij ransomwarecampagnes. Phishing blijft een van de meest voorkomende infectiemethoden. Aanvallers verspreiden e-mails met schadelijke bijlagen, zoals gecomprimeerde archieven, uitvoerbare bestanden of Microsoft Office-documenten met ingesloten schadelijke macro's. Zodra deze bestanden worden geopend, kan het ransomware-installatieproces worden gestart.

Andere infectieroutes zijn onder meer Trojaanse paarden, valse updatesystemen, kwaadaardige reclamecampagnes, onbetrouwbare downloadportalen en illegale applicaties die via onofficiële kanalen worden verspreid. Deze methoden misbruiken het vertrouwen van gebruikers en ontoereikende beveiligingsmaatregelen om toegang tot systemen te verkrijgen.

Bij gerichte bedrijfsinbraken kunnen cybercriminelen geavanceerdere technieken inzetten. Aanvallers proberen vaak Remote Desktop Protocol (RDP)-services te compromitteren door middel van brute-force-aanvallen op zwakke inloggegevens. Ze kunnen ook ongepatchte kwetsbaarheden in internetgerichte systemen misbruiken om een eerste toegangspunt te verkrijgen, alvorens zich lateraal door het netwerk te verspreiden en ransomware gelijktijdig op meerdere apparaten te installeren.

Reageren op een mortelinfectie

Zodra Mortar is gedetecteerd, is onmiddellijke isolatie cruciaal. Het verwijderen van de ransomware van de getroffen systemen helpt verdere versleuteling te voorkomen en vermindert het risico op extra schade in de omgeving. Malwareverwijdering moet echter niet worden verward met gegevensherstel. Het verwijderen van het schadelijke programma herstelt niet automatisch de versleutelde bestanden.

De meest betrouwbare herstelmethode blijft het terugzetten van schone back-ups die vóór de aanval zijn gemaakt. Back-ups moeten gescheiden van de productiesystemen worden opgeslagen om te voorkomen dat ransomware de back-uprepositories tijdens een incident versleutelt. Organisaties die veilige, geïsoleerde back-ups bewaren, zijn doorgaans veel beter in staat om te herstellen van ransomware-aanvallen zonder in zee te hoeven gaan met cybercriminelen.

Sterke verdediging opbouwen tegen ransomware

Effectieve bescherming tegen ransomware vereist een gelaagde beveiligingsstrategie die technologie, gebruikersbewustzijn en proactief onderhoud combineert. Organisaties moeten regelmatig besturingssystemen, applicaties en netwerkapparaten bijwerken om kwetsbaarheden te elimineren die aanvallers vaak misbruiken. Sterke authenticatieregels, met name voor services voor toegang op afstand, kunnen het risico op ongeautoriseerde toegang aanzienlijk verkleinen.

Eveneens belangrijk is de ontwikkeling van een robuuste back-upstrategie. Kritieke gegevens moeten naar meerdere locaties worden gekopieerd, waaronder offline of losgekoppelde opslag die niet toegankelijk is vanaf gecompromitteerde systemen. Regelmatige back-uptests zorgen ervoor dat de herstelprocedures correct functioneren in geval van nood.

Belangrijke beveiligingsmaatregelen omvatten:

  • Regelmatige back-ups maken die op aparte en beveiligde locaties worden opgeslagen.
  • Beveiligingsupdates en patches worden direct toegepast zodra ze beschikbaar komen.
  • Sterke, unieke wachtwoorden gebruiken en multifactorauthenticatie inschakelen.
  • Het beperken van onnodige diensten voor toegang op afstand en het monitoren van inlogpogingen.
  • Medewerkers trainen om phishing-e-mails en verdachte bijlagen te herkennen.
  • Het implementeren van betrouwbare oplossingen voor endpointbeveiliging en netwerkmonitoring.

Organisaties zouden ook het principe van minimale bevoegdheden moeten hanteren, waarbij gebruikers alleen de toegang krijgen die nodig is voor hun rol. Continue monitoring, beveiligingsaudits en incidentresponsplannen versterken de weerbaarheid tegen ransomwarecampagnes zoals Mortar. Een combinatie van preventieve maatregelen, snelle detectiemogelijkheden en betrouwbare back-upsystemen blijft de meest effectieve verdediging tegen moderne bedreigingen voor bestandsversleuteling.

Conclusie

Mortar-ransomware vormt een ernstige bedreiging voor bedrijfsnetwerken vanwege de mogelijkheid om waardevolle gegevens te versleutelen, de bedrijfsvoering te verstoren en slachtoffers onder druk te zetten om te betalen voor decryptie. Door unieke identificatiecodes aan versleutelde bestanden toe te voegen en slachtoffers naar een speciaal losgeldportaal te leiden, hanteren de aanvallers een gestructureerde en gerichte aanpak. Hoewel het herstellen van versleutelde bestanden lastig kan zijn, kunnen organisaties die prioriteit geven aan sterke cybersecuritypraktijken, geïsoleerde back-ups onderhouden en proactief kwetsbaarheden aanpakken, de impact van ransomware-incidenten aanzienlijk verminderen en hun algehele beveiligingsniveau verbeteren.

System Messages

The following system messages may be associated with Mortar Ransomware:

--------------------------------------------
| What happened to your files?
--------------------------------------------

We breached your corporate network and encrypted the data on your computers. The encrypted data includes documents, databases, photos and more - all were encrypted using a military grade encryption algorithms (AES-256 and RSA-2048). You cannot access those files right now. But don't worry!

You can still get those files back and be up and running again in no time.

---------------------------------------------
| How to contact us to get your files back?
---------------------------------------------

The only way to restore your files is by purchasing a decryption tool loaded with a private key we created specifically for your network.

Once run on an effected computer, the tool will decrypt all encrypted files - and you can resume day-to-day operations, preferably with better cyber security in mind. If you are interested in purchasing the decryption tool contact us at hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion.

!IMPORTANT!
TO RESTORE YOUR FILES CONTACT US VIA TOR BROWSER

WEBSITE: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
USERNAME: sid
PASSWORD: 4RcrXfvVksS5ACA

BACKUP LINK TO SUPPORT TEAM: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
!!!!!!!!!!!

Trending

Meest bekeken

Bezig met laden...