Opgekomen ransomware

In het huidige digitale tijdperk is het beschermen van apparaten tegen malwarebedreigingen van cruciaal belang. Malware, zoals ransomware, kan verwoestende gevolgen hebben voor zowel individuen als organisaties, wat kan leiden tot aanzienlijk gegevensverlies, financiële schade en operationele verstoringen. Een van de nieuwste bedreigingen op dit gebied is de Risen Ransomware, een bedreigende software die de bestanden van gebruikers versleutelt en de betaling van losgeld eist voor hun herstel. Begrijpen hoe de Risen Ransomware werkt en hoe u zich tegen dergelijke bedreigingen kunt beschermen, is essentieel voor het handhaven van cyberveiligheid.

Een overzicht van de Risen-ransomware

De Risen Ransomware werd ontdekt door cyberbeveiligingsonderzoekers die de unieke kenmerken en werkingsmethoden ervan identificeerden. Wanneer een systeem wordt geïnfecteerd, codeert Risen bestanden en hernoemt deze door een e-mailadres en een gebruikers-ID aan hun extensies toe te voegen. '1.png' wordt bijvoorbeeld hernoemd naar '1.png.Default@firemail.de].E86EQNTPTT', en '2.pdf' wordt '2.pdf.Default@firemail.de].E86EQNTPTT'.

Losgeldnotities en bedreigingen

De Risen Ransomware maakt twee losgeldbriefjes aan: '$Risen_Note.txt' en '$Risen_Guide.hta'. Bovendien verandert het de bureaubladachtergrond en wordt er een bericht weergegeven op het pre-inlogscherm, zodat het slachtoffer op de hoogte is van de inbreuk. In de losgeldbriefjes wordt beweerd dat de aanvallers het hele netwerk van het slachtoffer hebben geïnfiltreerd vanwege beveiligingsfouten en alle bestanden hebben gecodeerd met behulp van een sterk algoritme. Ze beweren ook dat kritieke gegevens, zoals documenten, afbeeldingen, technische gegevens, boekhoudkundige informatie en klantgegevens, zijn gestolen.

Afpersingstactieken

De losgeldbriefjes dreigen dat als de slachtoffers niet binnen een onbepaalde termijn meewerken, de aanvallers de verzamelde gegevens zullen lekken of verkopen. In de aantekeningen staat dat back-ups ook zijn gecodeerd en ontoegankelijk zijn, wat impliceert dat de enige manier om bestanden te herstellen is via een specifieke decoderingstool die door de aanvallers wordt geleverd. Slachtoffers mogen maximaal drie testbestanden verzenden voor gratis decodering en moeten de opgegeven e-mailadressen, default1@tutamail.com en default@firemail.de, gebruiken om contact op te nemen met de aanvallers, met vermelding van hun computer-ID in de onderwerpregel. Als er binnen 72 uur geen reactie is, wordt de slachtoffers verteld dat ze contact moeten opnemen met de aanvallers via een verstrekte TOR-blog.

De risico's van het betalen van het losgeld

Ondanks de beloften van de aanvallers wordt het betalen van het losgeld sterk afgeraden. Er bestaat een aanzienlijk risico om voor de gek gehouden te worden, aangezien aanvallers de decoderingstool mogelijk niet verstrekken, zelfs niet na betaling. Bovendien kan ransomware bestanden blijven versleutelen en zich over het netwerk verspreiden terwijl de ransomware actief blijft, waardoor verdere schade wordt aangericht.

Beveiligingsmaatregelen om ransomware-infecties te voorkomen

Bescherming tegen ransomware zoals Risen vereist een veelzijdige aanpak. Hier zijn enkele kritische beveiligingsmaatregelen die gebruikers moeten implementeren:

• Regelmatige back-ups : maak regelmatig een back-up van belangrijke gegevens en zorg ervoor dat back-ups offline of in een veilige, cloudgebaseerde oplossing worden opgeslagen. Dit zorgt voor gegevensherstel in geval van een aanval.
• Bijgewerkte software : Behoud alle software, inclusief applicaties en besturingssystemen, geüpgraded met de nieuwste beveiligingspatches om kwetsbaarheden te dichten die ransomware kan misbruiken.
• Sterke antimalware : Gebruik gerenommeerde antimalwareoplossingen om ransomware bloot te leggen en te blokkeren voordat deze schade kan veroorzaken. Zorg ervoor dat deze tools regelmatig worden bijgewerkt.
• E-mail- en webfiltering : Implementeer e-mail- en webfilteroplossingen om frauduleuze e-mails en websites te blokkeren die ransomware-payloads kunnen leveren.
• Gebruikerstraining : Informeer gebruikers over de gevaren van ransomware en veilige onlinepraktijken. Benadruk het belang van het niet openen van verdachte e-mailbijlagen of het klikken op onbekende links.
• Netwerksegmentatie : Segmenteer uw netwerk om de verspreiding van ransomware te reguleren. Dit kan helpen een infectie onder controle te houden en te voorkomen dat deze het hele netwerk beïnvloedt.
• Toegangscontroles : Implementeer strikte toegangscontroles om gebruikersrechten te beperken en ongeautoriseerde toegang tot gevoelige gegevens en systemen te blokkeren.

De Risen Ransomware vertegenwoordigt een aanzienlijke bedreiging in het landschap van cyberdreigingen. Als u de werking ervan en het belang van proactieve beveiligingsprocedures begrijpt, kunt u het risico op infectie helpen beperken. Door krachtige cyberbeveiligingspraktijken te implementeren, kunnen gebruikers hun gegevens en netwerken beschermen tegen de verwoestende gevolgen van ransomware.

De tekst op het losgeldbriefje dat aan de slachtoffers van de Risen Ransomware is nagelaten, luidt:

'All Your Important Files Have Been Encrypted
NOTE
We have also taken your critical documents and files from different parts of your network, which we will leak or sell if there is no cooperation from your side.

Our operators have been monitoring your business for a while, when we say these documents are critical, we mean it.
We await for your response before the deadline ends, After that we will continue the process of leaking or selling your documents.
We assure you that this won't happen if you cooperate with us.
CONTACT US
For more instructions, to save your files and your business, contact us by :
Email address :Default@firemail.de
didn't get any response in 24 hours ? use : default1@tutamail.com

Leave subject as your machine id "-"
If you didn't get any respond within 72 hours use our Tor blog to contact us, therefore we can create another way for you to contact your cryptor as soon as possible.

ATTENTION
Do not rename or change info of any file, in case of any changes in files after encryption there is a huge risk for making it unusable
Do not pay any amount of money before receiving decrypted test files
there might be many middle man services out there whom will contact us for your case and they will make a profit adding a sort of money to the fixed price
any attempts for decrypting your files through third party softwares will cause permanent damage to following files and permanent data loss
there will be a deadline until your data get sold or leaked by our team,you better corporate with us before the following deadline otherwise we will proceed to sell or leak your data without any past warnings'

Het tekstbestand gegenereerd door de Risen Ransomware bevat het volgende bericht van de aanvallers:

'RisenNote :

Read this text file carefully.

We have penetrated your whole network due some critical security issues.

We have encrypted all of your files on each host in the network within strong algorithm.

We have also Took your critical data such as docs, images, engineering data, accounting data, customers and …
And trust me, we exactly know what should we collect in case of NO corporation until the end of the deadline we WILL leak or sell your data, the only way to stop this process is successful corporation.

We have monitored your Backup plans for a whileand they are completely out of access(encrypted)

The only situation for recovering your files is our decryptor, there are many middle man services out there whom will contact us for your caseand add an amount of money on the FIXED price that we gave to them, so be aware of them.

Remember, you can send Upto 3 test files for decrypting, before making payment, we highly recommend to get test files to prevent possible scams.

In order to contact us you can either use following email :

Email address : Default@firemail.de

Or If you weren't able to contact us whitin 24 hours please Email : default1@tutamail.com

Leave subject as your machine id :

If you didn't get any respond within 72 hours use our blog to contact us,
therefore we can create another way for you to contact your cryptor as soon as possible.
TOR BLOG :'