Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Ransomware Theft Ransomware

Theft Ransomware

Tegen Mezo in Ransomware
Vertalen naar:

De moderne dreigingsomgeving is meedogenloos. Cybercriminelen verfijnen voortdurend hun tools om onvoorbereide gebruikers uit te buiten. Een van de meest schadelijke van deze dreigingen is ransomware, schadelijke software die gegevens versleutelt en slachtoffers afperst voor geld. Een van deze nieuwe varianten staat bekend als Theft Ransomware, waarvan al is waargenomen dat het nietsvermoedende systemen in de war schopt.

Wat maakt Theft Ransomware gevaarlijk?

Theft Ransomware is een nieuwe variant die verband houdt met de beruchte Dharma-ransomwarefamilie, een groep die bekendstaat om het aanvallen van zowel individuen als organisaties. Na infiltratie van een apparaat versleutelt de malware bestanden en hernoemt ze door het volgende toe te voegen:

  • Een unieke slachtoffer-ID
  • Het e-mailadres van de aanvallers
  • De extensie '.theft'

'1.png' wordt bijvoorbeeld '1.png.id-9ECFA84E.[datatheft@tuta.io].theft.'

Slachtoffers worden vervolgens geconfronteerd met losgeldberichten in de vorm van tekstbestanden ('info.txt') en een pop-upvenster. Hoewel het tekstbericht beknopt is en alleen contactgegevens bevat, biedt de pop-up meer details, waaronder de geruststelling dat gegevensherstel mogelijk is als het losgeld wordt betaald. Aanvallers bieden zelfs 'bewijs van decodering' door drie kleine, niet-kritieke bestanden gratis te herstellen.

De druk wordt nog groter doordat de criminelen beweren vertrouwelijke bedrijfsgegevens te hebben gestolen en dreigen deze te lekken als de betaling wordt geweigerd.

Technische kenmerken van de dreiging

Net als andere op Dharma gebaseerde varianten blokkeert Theft Ransomware geen complete systemen, maar versleutelt het in plaats daarvan lokale en op het netwerk gedeelde bestanden. De malware:

  • Beëindigt processen die gekoppeld zijn aan bestanden die in gebruik zijn (databases, lezers, enz.)
  • Kopieert zichzelf naar het pad %LOCALAPPDATA% en registreert persistentie via Run-sleutels
  • Stelt zichzelf in om automatisch te starten bij het opnieuw opstarten van het systeem
  • Verwijdert volumeschaduwkopieën om eenvoudig herstel te voorkomen

De malware verzamelt ook geolocatiegegevens om te bepalen of de encryptie moet worden toegepast, waarbij mogelijk bepaalde regio's worden uitgesloten.

Hoe de infectie zich verspreidt

Theft Ransomware maakt gebruik van meerdere infiltratietactieken, waarvan de meest voorkomende zwak beveiligde RDP-services (Remote Desktop Protocol) zijn. Bruteforce- en woordenboekaanvallen op slecht beveiligde accounts vormen een veelvoorkomend toegangspunt. Eenmaal binnen kan de malware zelfs firewalls uitschakelen om de werking te vergemakkelijken.

Andere bekende distributiekanalen zijn:

Phishing en social engineering – Kwaadaardige bijlagen of links in e-mails, DM's en berichten.

Trojaanse paarden en backdoors – Worden gebruikt om in stilte ransomware te verspreiden.

Malvertising en drive-by downloads – Worden geactiveerd door een bezoek aan een gehackte website.

Verdachte softwarebronnen – Gekraakte tools, freewarebundels en nep-updates.

Verwijderbare media en lokale netwerken – Hierdoor kan de malware zich intern verspreiden zodra deze op een systeem terechtkomt.

Waarom het betalen van losgeld een riskante gok is

Het decoderen van bestanden die met diefstal zijn versleuteld zonder de sleutel van de aanvaller is vrijwel onmogelijk. Hoewel sommige ransomwarevarianten gebrekkig zijn, zijn Dharma-gebaseerde bedreigingen meestal solide gebouwd. Belangrijk is dat het betalen van losgeld geen garantie biedt op herstel; veel slachtoffers blijven met lege handen achter, zelfs na het overmaken van geld. Erger nog, de betaling financiert alleen maar verdere criminele activiteiten.

Uw verdediging tegen ransomware versterken

De beste manier om Theft Ransomware te bestrijden is preventie. Omdat het verwijderen van de malware niet automatisch versleutelde bestanden herstelt, moeten gebruikers zich richten op veerkracht en proactieve verdediging. Belangrijke principes die elke gebruiker zou moeten toepassen, zijn:

  • Regelmatige back-ups – Bewaar kopieën van belangrijke bestanden op meerdere beveiligde locaties, zoals offline schijven en cloudservices die niet aan het geïnfecteerde systeem zijn gekoppeld.
  • Software en systemen bijwerken: pas patches toe om kwetsbaarheden te sluiten die door ransomware worden uitgebuit.
  • Gebruik sterke authenticatie: beveilig RDP-services met unieke, complexe wachtwoorden en schakel multifactorauthenticatie in.
  • Wees voorzichtig met e-mails en links: open geen onverwachte bijlagen en klik niet op onbekende links, zelfs niet als ze betrouwbaar lijken.
  • Beperk beheerdersrechten: beperk privileges om de impact van mogelijke malware-uitvoering te verminderen.
  • Installeer betrouwbare beveiligingstools: maak gebruik van anti-malwareoplossingen met bescherming tegen ransomware.
  • Schakel macro's en scripts uit: veel ransomware-aanvallen worden geactiveerd via Office-documenten of -scripts.
  • Segmenteer netwerken – Voorkom dat malware zich lateraal verspreidt binnen bedrijfsomgevingen.

Laatste gedachten

Theft Ransomware onderstreept de voortdurende evolutie van de Dharma-familie en haar blijvende rol in wereldwijde ransomwarecampagnes. De combinatie van encryptie, gegevensdiefstal en afpersing maakt het bijzonder schadelijk. Omdat bestandsherstel vaak onmogelijk is zonder schone back-ups, bestaat de enige echte verdediging uit gelaagde preventie, sterke cyberhygiëne en betrouwbare herstelstrategieën.

System Messages

The following system messages may be associated with Theft Ransomware:

All your files has been encrypted!

Don't worry, you can return all your files!
If you want to restore them, contact us: datatheft@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, contact mail:datatheft@cyberfear.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Some of your data has been downloaded

In case if you refuse to cooperate all downloaded data will be transfered to third parties. Financial implications: The threat of data breach could result in significant fines and legal action. Reputational risks: Data breach may lead to a loss of trust from customers and partners, as well as negative consequences for your future work. We strongly recommend you to contact us directly, to avoid the extra fee from middlemans and lower the risks of scam.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Ransom note in the text files:
All your data has been encrypted.

For decryption contact:

datatheft@tuta.io or datatheft@cyberfear.com

Gerelateerde berichten

Trending

Meest bekeken

Bezig met laden...