PayloadBIN Ransomware
PayloadBIN Ransomware is een nieuwe bedreiging die wordt ingezet tegen computergebruikers. Als onderdeel van de ransomware-klasse van bedreigingen initieert PayloadBIN een coderingsroutine op gecompromitteerde systemen om de bestanden die daar zijn opgeslagen te vergrendelen. De dreigingsactoren zouden vervolgens hun slachtoffers afpersen voor geld in ruil voor het verstrekken van een decoderingssleutel en software die de gegevens mogelijk zou kunnen herstellen. Versleutelde bestanden worden gemarkeerd door '.PAYLOADBIN' als nieuwe extensie aan hun oorspronkelijke naam toe te voegen. De losgeldbrief voor de dreiging wordt dan afgeleverd als een tekstbestand met de naam 'PAYLOADBIN-README.txt'. De instructies van de cybercriminelen zijn extreem kort en vertellen hun slachtoffers simpelweg om communicatie tot stand te brengen door een bericht te schrijven naar de twee opgegeven e-mailadressen.
PayloadBIN Ransomware Naamsvermelding
Functioneel gezien vertoont PayloadBIN Ransomware geen duidelijke verbeteringen of aanpassingen in vergelijking met andere huidige bedreigingen van dit type. Bepalen wie de hackers zijn die verantwoordelijk zijn voor het ontketenen van de dreiging is een heel andere zaak. Immers, alleen al op basis van de naam zou je aannemen dat de dreiging tot de 'payload bin'-groep behoort. Deze groep is echter een rebrand van de Babuk- bende nadat het zijn voornemen had aangekondigd om de ransomware-sector te verlaten en zich in plaats daarvan te concentreren op gegevensdiefstal en afpersing. De hackers namen deze beslissing nadat ze erin waren geslaagd de Metropolitan Police Department in Washington, DC te doorbreken en verschillende niet-versleutelde informatie te verzamelen.
Analyse van PayloadBIN toont inderdaad nauwe banden aan met de ransomware-bedreigingen die verband houden met een andere cybercriminele organisatie genaamd Evil Corp. Sinds het Office of Foreign Assets Control (OFAC) van het Amerikaanse ministerie van Financiën sancties heeft opgelegd aan Evil Corp, vertrouwen de hackers op talloze rebrands om hun activiteiten voort te zetten. Deze laatste operatie is zo'n voorbeeld waarbij Evil Corp zijn WastedLocker Ransomware onder een andere naam herverpakt in een poging zich voor te doen als de ex-Babuk-bende.
Nu PayloadBIN met veel vertrouwen wordt toegeschreven aan een gesanctioneerde hackgroep, is het uiterst onwaarschijnlijk dat ransomware-onderhandelingsbedrijven in contact blijven met slachtoffers van de dreiging en extra losgeldbetalingen mogelijk maken.
