Quoter Ransomware
De Quoter Ransomware is een nieuwe malware-soort die voor het eerst werd ontdekt als onderdeel van de dreigende operaties van de Russisch sprekende RTM-dreigingsgroep. De opname van een ransomwarebedreiging vertegenwoordigt een aanzienlijke evolutie van de hackers die voorheen bekend stonden als uitsluitend vertrouwd op hun RTM Banking Trojan. De Trojan werd afgeleverd via corrupte phishing-e-mails die deden alsof ze belangrijke juridische of bedrijfsdocumenten bevatten. In plaats daarvan, wanneer het bijgevoegde bestand wordt uitgevoerd, laat het de Trojan op de computer van het slachtoffer vallen.
De nieuwe lopende aanvalscampagne van de RTM-groep doorloopt ook dezelfde beginfasen. De hackers krijgen opnieuw voet aan de grond binnen de beoogde organisatie door middel van phishing-e-mails. Vervolgens wordt de RTM-trojan geïnitieerd. De belangrijkste functionaliteit van de bedreiging is om te proberen rekeninggegevens te vervangen tijdens betalingen of transacties die door het slachtoffer worden uitgevoerd. Als dat plan niet lukt, gebruiken de cybercriminelen de Quoter Ransomware om de bestanden die op het gecompromitteerde systeem zijn opgeslagen te versleutelen. Als de getroffen organisatie nog steeds niet wil betalen, vallen de hackers terug op chantage. De hackers sturen een e-mail naar hun slachtoffers waarin ze beweren dat ze gevoelige informatie hebben verkregen uit de geschonden systemen die naar het publiek zullen worden gelekt of op een ondergrondse veiling zullen worden verkocht.
The Quoter Ransomware - Snel en uiterst bedreigend
Analyse van de nieuw ontdekte Quoter Ransomware onthulde dat de dreiging lichtgewicht en efficiënt is in zijn dreigende taken. De dreiging is gecompileerd met behulp van de GNU-compilercollectie. Quoter gebruikt voor zijn versleutelingsroutine het onkraakbare AES-256 cryptografische algoritme. In de code van de gecodeerde bestanden vonden infosec-onderzoekers talloze citaten die de naam van de dreiging verklaren, waaronder enkele uit de Bijbel.
Hoewel het vrij ongebruikelijk is dat aan Rusland gelinkte hackercollectieven zich richten op organisaties die in Rusland zijn gevestigd, heeft de RTM-groep dat precies gedaan in zijn lopende campagne. Er is vastgesteld dat meer dan tien Russische organisaties zijn getroffen door aanslagen. De beoogde entiteiten zijn actief in de transport- en financiële sector. Gemiddeld eisen de RTM-hackers een losgeld van $ 1 miljoen dat in Bitcoin moet worden betaald.
