WastedLocker Ransomware treft nu thuiswerkers

Een nieuwe malwarecam is op de voorgrond getreden, dit keer speciaal voor thuiskantoormedewerkers. Niet verwonderlijk als je bedenkt dat bijna 2/3 van alle Amerikaanse werknemers momenteel thuis een baan op afstand doet vanwege de aanhoudende Covid-19-pandemie. Nu worden miljoenen thuiswerkers geconfronteerd met een vervelende ransomware-dreiging genaamd WastedLocker . Geassocieerd met de Evil Corp cybergang , heeft Wasted Locker naar verluidt tot nu toe tientallen bedrijven getroffen en jaagt het nu op VPN-verbonden pc-thuisgebruikers.

Infectie op meerdere niveaus via een JavaScript-framework

Om een WastedLocker-ransomware-infectie op een gericht apparaat te planten, moeten de verantwoordelijken webgebruikers omleiden naar een gecompromitteerde website met de zogenaamde SocGholish - een JavaScript-framework boordevol kwaadaardige code - meestal vermomd als een nep-software-update in een .zip-archief. Eenmaal uitgevoerd, start de SocGholish JavaScript een andere JS-component via de wscript.exe Script Host om details over de pc te verzamelen. Vervolgens wordt PowerShell geïmplementeerd om de Cobalt Strike-tool samen met een .NET-injector te downloaden. De eerste biedt ongeautoriseerde toegang tot het systeem. De laatste is in staat om kwaadaardige ladingen rechtstreeks in het systeemgeheugen uit te voeren, waardoor endpoint-bescherming wordt omzeild. Beide tools leveren uiteindelijk het Cobalt Strike Beacon-laadvermogen. De Beacon dient als het primaire bedieningspaneel voor eventuele verdere code-injecties, uitvoering van opdrachten en escalaties van bevoegdheden.

Deze week in Malware, aflevering 13, deel 1: Evil Corp-hackers geblokkeerd voor het implementeren van WastedLocker Ransomware

Voordat ze de daadwerkelijke WastedLocker ransomware-infectie activeren, knoeien de boeven met de instellingen van Windows Defender om te voorkomen dat deze realtime scans en monitoring uitvoert. Vervolgens implementeren ze het PsExec-opdrachtregelprogramma om de zeer WastedLocker-payload uit te voeren.

Versleuteling

Eenmaal gestart, begint WastedLocker met het versleutelen van de gegevens van het slachtoffer. Het verwijdert ook alle schaduwvolumekopieën die op het systeem aanwezig zijn. Uiteindelijk verlamt de aanval het netwerk van de gebruiker en veroorzaakt ernstige belemmeringen voor hun workflow. Hoewel het exacte bedrag van het gevraagde losgeld onbekend blijft, hebben de boeven van Evil Corp naar verluidt miljoenen dollars verdiend. Ze deden dit door hun inspanningen te concentreren op het compromitteren van websites van grote bedrijven in het hele zakelijke spectrum in de VS. Tot dusverre komen de bedrijven die het meest worden aangevallen uit de maakindustrie, gevolgd door de IT-sfeer, en Media en Telecommunicatie.