Kwaadwillenden verspreiden momenteel een variant op de KeyPass-ransomware, waarin gehint wordt naar geavanceerdere aanvallen die komen gaan. Dat stellen onderzoekers van Kaspersky Lab na analyse van de kwaadaardige software.

KeyPass is op 8 augustus voor het eerst ontdekt, maar wist sindsdien honderden slachtoffers te maken. Zij bevinden zich in meer dan 20 landen verspreid over de gehele wereld. Slachtoffers komen voornamelijk uit Brazilië en Vietnam, al zijn er ook in regio’s als Europa en Afrika slachtoffers gemaakt. De aanval vindt plaats via neppe software-installatieprogramma’s, die de ransomware op de pc van het slachtoffer downloadt.

Aanpassen

Na bestudering van KeyPass stelt Kaspersky dat er een aanvullende feature in de ransomware aanwezig is. Die maakt het mogelijk om handmatig een geïnfecteerd systeem te beheren. De optie wijst erop dat er potentieel geavanceerdere aanvallen op geïnfecteerde netwerken plaats gaan vinden.

De KeyPass-interface bevat een module waardoor aanvallers het encryptieproces aan kunnen passen. Verschillende onderdelen van de aanval zijn zo te wijzigen. Denk daarbij aan de mededeling die slachtoffers van de ransomwarecampagne zien. Door de truc kunnen de cybercriminelen het losgeld aanpassen.

Identificaite

Een slachtoffer leest in het bericht dat alle documenten, foto’s, databases en andere belangrijke bestanden versleuteld zijn. Om dit op te lossen zou binnen drie dagen de “decrypt software” voor 300 dollar gekocht dienen te worden. KeyPass noemt daarbij geen cryptovaluta, zoals gebruikelijk is bij ransomware.

Wel wordt aan slachtoffers gevraagd een bericht te sturen naar een e-mailadress uit Zwitserland of India. De identiteit van de daders is vooralsnog echter onbekend. De e-mailadressen hoeven niet te betekenen dat de aanvallers zich in Zwitserland of India bevinden, aangezien e-mailadressen ook in andere landen aangemaakt kunnen zijn.