FIND Ransomware

Het beschermen van uw apparaten tegen malware is eerder een noodzaak dan een keuze geworden. Cybercriminelen blijven hun tactieken ontwikkelen en ontwikkelen steeds complexere ransomwarevarianten die zelfs kleine beveiligingslekken uitbuiten. FIND Ransomware, een recent ontdekte variant uit de beruchte Dharma-familie, illustreert de verfijning en persistentie van moderne ransomware-operaties.

Binnen de FIND Ransomware-aanval

FIND Ransomware werkt met dezelfde meedogenloze efficiëntie die Dharma tot een van de meest actieve ransomwarefamilies heeft gemaakt. Na uitvoering begint de malware de bestanden van het slachtoffer te versleutelen, waardoor ze ontoegankelijk worden. Daarbij hernoemt het elk bestand door de unieke ID van het slachtoffer, een door de aanvaller beheerd e-mailadres en de extensie '.FIND' toe te voegen – bijvoorbeeld door '1.png' te hernoemen naar '1.png.id-9ECFA84E.[findourtxt@tuta.io
].FIND.' Een andere waargenomen variant van deze bedreiging gebruikt in plaats daarvan de extensie '. FIND5'.

Na versleuteling verstuurt de ransomware zijn verzoeken via twee kanalen: een pop-upbericht en een losgeldbrief met de naam 'info.txt'. In de brief worden slachtoffers geïnformeerd dat hun bestanden zijn versleuteld en krijgen ze de opdracht contact op te nemen met de aanvallers via een van de twee e-mailadressen: 'findourtxt@tuta.io' of 'findourtxt@mailum.com'. Hiervoor moeten ze hun toegewezen ID gebruiken.

In de losgeldbrief wordt verder beweerd dat een deel van de gegevens van het slachtoffer is geëxfiltreerd en wordt gewaarschuwd dat het niet naleven van deze regel ertoe zal leiden dat de gestolen informatie wordt verkocht of gedeeld met derden. Slachtoffers worden ook afgeraden om bestanden te hernoemen of te proberen gegevens te decoderen met behulp van tools van derden, omdat dergelijke acties kunnen leiden tot permanent gegevensverlies of hogere losgeldeisen.

Hoe FIND Ransomware werkt

Net als andere Dharma-varianten volgt FIND Ransomware een meerstappen-infectieproces dat is ontworpen om de impact en persistentie te maximaliseren. Zodra de malware actief is op een systeem, versleutelt het bestanden op zowel lokale als netwerkschijven, waarbij het een breed scala aan gegevenstypen aanvalt. Het verwijdert zelfs volumeschaduwkopieën om eenvoudig herstel te voorkomen.

Het knoeit ook met systeeminstellingen door de Windows Firewall uit te schakelen, persistentie te creëren door kopieën van zichzelf in de map %LOCALAPPDATA% te plaatsen en vermeldingen toe te voegen aan de registersleutels Run. Bovendien verzamelen sommige Dharma-varianten locatiegegevens en kunnen ze specifieke systeemmappen of -stations uitsluiten van encryptie, waarschijnlijk om operationele of strategische redenen.

Infectievectoren en distributiekanalen

FIND Ransomware verspreidt zich, net als zijn voorgangers, via een combinatie van misleidende en opportunistische methoden. Cybercriminelen gebruiken phishingcampagnes, kwaadaardige bijlagen en frauduleuze links in e-mails om gebruikers te misleiden en de infectie te initiëren. Andere veelvoorkomende verspreidingsmethoden zijn:

1. Drive-by-downloads van gecompromitteerde of schadelijke websites.
2. Installatie via illegale software, nep-updates of gekraakte applicaties.
3. Exploitatie van niet-gepatchte softwarekwetsbaarheden en zwakke Remote Desktop Protocol (RDP)-configuraties.
4. Kwaadaardige advertenties, P2P-netwerken en geïnfecteerde verwijderbare schijven (USB's).

Nadat FIND is geïnstalleerd, versleutelt het kritieke gegevens en vraagt het om betaling, vaak in cryptovaluta, om een decoderingssleutel te verstrekken. Er is echter geen garantie dat betaling ook tot succesvol herstel leidt.

Beste beveiligingspraktijken om beschermd te blijven

Verdediging tegen ransomware zoals FIND vereist een gelaagde en proactieve aanpak. Gebruikers en organisaties kunnen het infectierisico aanzienlijk verminderen door de volgende essentiële maatregelen te implementeren:

1. Versterk de beveiliging van apparaten en netwerken :

• Werk besturingssystemen, browsers en software regelmatig bij om bekende kwetsbaarheden te verhelpen.
• Configureer firewalls en antivirusprogramma's om verdachte activiteiten te detecteren en blokkeren.
• Schakel RDP-toegang uit als u deze niet nodig hebt, of beperk deze met sterke wachtwoorden, meervoudige verificatie en IP-whitelisting.

2. Veilig browsen en e-mailen :

• Vermijd het openen van ongevraagde bijlagen en het klikken op links van onbekende afzenders.
• Download software alleen van betrouwbare bronnen en vermijd torrents of gekraakte programma's.
• Wees voorzichtig wanneer u reageert op onverwachte 'dringende' of 'beveiligingswaarschuwingen'-berichten.

3. Zorg voor betrouwbare back-ups :

• Maak offline of cloudgebaseerde back-ups van essentiële gegevens.

• Zorg ervoor dat back-upapparaten na gebruik worden losgekoppeld om te voorkomen dat er tijdens een aanval encryptie plaatsvindt.

4. Onderwijs en voorbereiding :

• Train alle gebruikers in het herkennen van phishingpogingen en kwaadaardig gedrag.
• Stel een incidentresponsplan op met duidelijke stappen voor het isoleren van geïnfecteerde systemen en het herstellen van de werking.

Laatste gedachten

FIND Ransomware vertegenwoordigt een nieuwe evolutie in de hardnekkige en destructieve Dharma-familie. Door waardevolle gegevens te versleutelen, beveiligingsinstellingen te manipuleren en psychologische druk uit te oefenen via losgeldberichten, vormt deze malware een ernstige bedreiging voor zowel individuen als organisaties.

Het handhaven van een goede cyberbeveiligingshygiëne, waakzaam blijven tegen verdachte onlineactiviteiten en het regelmatig maken van back-ups van uw gegevens blijven de meest effectieve verdedigingen tegen dergelijke ransomware-bedreigingen.