Hackers gebruiken de KeyPass ransomware voor handmatige aanvallen

Er werd een nieuwe variant van KeyPass met een handmatige functie opgemerkt in meer dan 20 landen

Beveiligingsonderzoekers van Kaspersky Labs hebben een rapport geplaatst over een nieuwe variant van de KeyPass ransomware die de wereld rondgaat sinds 8 augustus. De malware heeft een nieuwe eigenschap die hackers toelaat de kwaadaardige code van op afstand te wijzigen, waardoor ze de versleutelingsprocedure kunnen wijzigen.

Beveiligingsexperts merkten dat het virus reeds meer dan 100 slachtoffers maakte, de meeste van hen uit ontwikkelingslanden. De meeste slachtoffers waren afkomstig uit Brazilië (19.5% van de gevallen) en Vietnam (14.6%). Onder de slachtoffers waren mensen van Algerije, India, Iran, en een paar infecties in Frankrijk en Duitsland.

Er is momenteel nog niet veel geweten over de distributiemethode van de KeyPass ransomware, alhoewel sommige gebruikers melden dat ze probeerden om het kraakprogramma KMSpico te downloaden. Andere slachtoffers beweerden dat ze niets installeerde op hun apparaat voor de malware aanval.

Hoe de KeyPass Trojaan werkt

Het KeyPass virus is een variant van de STOP ransomware die dateerd uit februari 2017. Van zodra de malware op zijn doelwit terechtkomt, kopieert het zijn uitvoeringsbestand naar de %LocalAppData% map en verwijdert het zichzelf nadat het infectieproces voltooid werd. Voor het zichzelf echter verwijdert, kopiiert de malware zijn eigen proces naar verschillende locaties op het apparaat. Snel daarna, scant de ransomware het apparaat op bestanden om te versleutelen, zoals beschreven door onderzoekers:

KeyPass enumerates local drives and network shares accessible from the infected machine and searches for all files, regardless of their extension. It skips files located in a number of directories, the paths to which are hardcoded into the sample.

Daarna probeert het virus verbinding te maken met de Command & Control Server om de persoonlijke ID en decoderingssleutel te leveren die gebruikt kan worden om alle data te herstellen.

KeyPass gebruikt dan een AES-256 code om de bestanden te versleutelen en voegt de .KEYPASS extensie toe, waardoor alle persoonlijke data onbruikbaar wordt. Daarnaast plaatst het ook een losgeldbrief !!!KEYPASS_DECRYPTION_INFO!!!.txt welke geplaatst wordt in elk van de aangetaste mappen. De hackers eisen $300 in BTC voor het herstellen van de bestanden en geven te kennen dat dit zal verhogen als de betaling niet wirdt uitgevoerd binnen de 72 uur.

Als de internetverbinding niet tot stand werd gebracht op de geïnfecteerde pc of de Command & Control Server is niet toegangkelijk, zal de malware data versleutelen met ingestelde ID, wat het herstellen van de data relatief gemakkelijk maakt.

De handmatige controle eigenschap stelt hackers in staat om gericht en gevaarlijkere aanvallen voor te bereiden

De KeyPass Trojaan bevat een formulier dat standaard slim verborgen zit. Het formulier kan echter geopend worden door op een specifieke toets op een toetsenbord te drukken. De specialisten van Kaspersky beweren dat deze eigenschap hackers zal toelaten handmatig de controle over het kwaadaardig programma over te nemen.

Terzijl de verborgen eigenschap niet echt veel betekent voor de slachtoffers, kunnen hackers het gebruiken om handmatig parameters van de malware te wijzigen, inclusief:

• Slechtoffer ID;
• Bestandsextensie;
• Naam van de losgeldbrief;
• Inhoud van de losgeldbrief;
• Decoderingssleutel, etc.

Dit betekent dat ook het bedrag van het losgeld gewijzigd kan worden.

Ransomware is één van de gevaarlijkste soorten van malware en is dominant sinds 2013 met de komst van CryptoLocker. Er werden botnets opgericht die de verspreiding van malware een stuk gemakkelijker maakten. Sommige virussen vergendelden de slachtoffers hun scherm met nep berichten afkomstig van zogezegd het FBI of de politie, terwijl dreigingen zoals WannaCry en Petya de werking van verschillende grote organisaties en overheidsinstellingen platlegde voor verscheidene dagen. Bedrijven leden ook voor miljoenen dollars aan schade.

Ransomware is nog steeds één van de grootste cyberdreigingen die er is, en gebruikers zouden essentiële beveiligingsstappen moeten nemen om de aanvallen te vermijden.