RestoreMyData Ransomware
Malwarecampagnes evolueren voortdurend en ransomware blijft een van de meest schadelijke bedreigingen voor gebruikers en organisaties van elke omvang. Eén succesvolle inbraak kan de bedrijfsvoering lamleggen, back-ups beschadigen, afpersing bij datalekken veroorzaken en lange, kostbare herstelperiodes met zich meebrengen. Proactieve verdediging en gedisciplineerde respons spelen een doorslaggevende rol bij het beperken van de reikwijdte van een aanval, niet áls die plaatsvindt.
Inhoudsopgave
Wat is RestoreMyData Ransomware?
RestoreMyData blokkeert de gegevens van slachtoffers en perst hen af voor losgeld. Deze ransomwarevariant werd geïdentificeerd tijdens lopende onderzoeken naar bedreigingen. Net als andere hedendaagse families versleutelt het bestanden en eist het betaling voor een decryptietool, terwijl het tegelijkertijd beweert gevoelige bedrijfsgegevens te exfiltreren om slachtoffers onder druk te zetten met publieke lekken.
Hoe de aanval zich ontvouwt
Nadat de ransomware voet aan de grond heeft gekregen, vaak via social engineering, kwaadaardige downloads of secundaire malware, voert de ransomware zijn versleutelingsroutine uit. Elke getroffen bestandsnaam wordt aangepast door '.restoremydata.pw' toe te voegen. Zo wordt '1.png' bijvoorbeeld '1.png.restoremydata.pw' en '2.pdf' '2.pdf.restoremydata.pw'. Zodra de versleuteling is voltooid, plaatst de malware een losgeldbericht met de naam 'HOW_TO_RECOVERY_FILES.txt'. Het bericht is duidelijk gericht op bedrijven en niet op thuisgebruikers en waarschuwt dat de bedrijfsvoering in gevaar is, dat bestanden ontoegankelijk zijn zonder de hulp van de aanvallers en dat gestolen bedrijfsgegevens openbaar zullen worden gemaakt als de verzoeken worden genegeerd.
Binnen de losgeldbrief: tactieken en druk
Het bericht beweert dat alleen de aanvallers de unieke decryptiesleutel bezitten en dat decryptors die voor andere slachtoffers worden gebruikt, niet zullen werken. Het waarschuwt tegen het wijzigen van versleutelde bestanden om onherstelbare schade te voorkomen. Als 'bewijs van decryptie' bieden de operators aan om één testbestand te herstellen, meestal tot 2 MB, en geen kritieke informatie zoals een database, back-up of grote spreadsheet. Dit is een veelgebruikte social engineering-techniek die is ontworpen om geloofwaardigheid op te bouwen en slachtoffers aan te zetten tot betalen.
Het betalen van losgeld: risico's en realiteit
In de meeste gevallen is het decoderen van bestanden die door moderne ransomware zijn vergrendeld, niet mogelijk zonder de sleutels van de aanvaller. Betalen garandeert echter geen herstel; slachtoffers melden vaak dat ze niets bruikbaars hebben ontvangen na het overmaken van geld. Betalen voedt bovendien het criminele ecosysteem. De beste manier om te verdedigen is om betalingen te vermijden, zich te richten op uitroeiing en te herstellen vanaf schone back-ups.
Persistentie, laterale beweging en verspreiding
Na de initiële aanval proberen sommige bedreigingen zich lateraal over lokale netwerken te verspreiden, misbruik te maken van beheertools, inloggegevens te verzamelen en zich te verspreiden via verwisselbare media (USB-sticks, externe schijven). RestoreMyData moet in staat worden geacht vergelijkbare technieken te benutten die in het ecosysteem worden gebruikt. Dit betekent dat de snelheid van inperking cruciaal is zodra er indicatoren worden ontdekt.
Initiële toegangs- en leveringskanalen
Ransomware-exploitanten vertrouwen op beproefde distributiemethoden: phishing-e-mails en -berichten met bijlagen of links die met boobytraps zijn beveiligd, trojans en loaders die payloads later droppen, drive-by downloads van gecompromitteerde websites, gratis softwareportals en P2P-netwerken met herverpakte installatieprogramma's, malvertising, nep-updates en 'crack'-tools. Kwaadaardige content wordt vaak gemaskeerd als archieven (ZIP/RAR), uitvoerbare bestanden, PDF's, Office- of OneNote-documenten, JavaScript en meer; de uitvoering begint zodra een gebruiker het bestand opent of uitvoert.
Uitroeiings- en herstelstrategie
Isoleer de getroffen systemen onmiddellijk van het netwerk om verspreiding van encryptie en data-exfiltratie te voorkomen. Voer een grondige verwijdering uit met behulp van betrouwbare, volledig bijgewerkte beveiligingstools. Begrijp dat verwijdering verdere schade voorkomt, maar reeds vergrendelde gegevens niet decodeert. Herstel dient te gebeuren via back-ups die nog niet zijn getroffen.
Conclusie
RestoreMyData Ransomware is een voorbeeld van de hedendaagse aanpak van dubbele afpersing: snelle encryptie, unieke slachtoffersleutels, agressieve losgeldbrieven en dreigementen om gestolen gegevens te lekken. Vermijd betalen waar mogelijk, verwijder de malware resoluut en vertrouw op beveiligde, regelmatig geteste back-ups voor herstel. Organisaties die gelaagde preventie, strikte privilegecontrole, veerkrachtige back-ups en geoefende incidentrespons combineren, vergroten hun kansen om dit soort aanvallen te weerstaan aanzienlijk.
Berichten
De volgende berichten met betrekking tot RestoreMyData Ransomware zijn gevonden:
Your business is at serious risk. Your files are now encrypted with the most secure military algorithms. No one can help you decrypt your files without our special decoder. We understand that you will be able to restore your files from backups. We want to warn you that we have dropped all your documents related to accounting, administration, law, HR, NDA, database, passwords and much more! |
