Ransomware criminelen van ALPHV/BlackCat, LockBit en Karakurt vinden steeds weer nieuwe manieren voor het afpersen van hun slachtoffers. Eén van de meest recente strategieën voor het doen betalen van losgeld is onder andere het doorzoekbaar maken van gestolen data op leksites.

Cybercriminelen die verantwoordelijk zijn voor de verspreiding van ransomware bedenken steeds nieuwe manieren om hun slachtoffers te overtuigen te betalen. Een nieuw afpersmidddel is het doorzoekbaar maken van de data op leksites. Hierdoor kunnen geïnteresseerden systematisch zoeken naar bepaalde -publiek bekende- slachtoffers en daarnaast naar specifieke details in de gestolen data. Door hiermee te dreigen, hopen ransomwarebendes hun slachtoffers te overtuigen te betalen.

Dit afpersmiddel is onlangs gesignaleerd bij de ransomwarebendes van ALPHV/BlackCat, LockBit en Karakurt.

Zoekfunctionaliteit ALPHV/BlackCat

 Vooral de hackers van ALPHV/BlackCat hebben inmiddels een geavanceerde zoekmachine ontwikkeld waarmee geïnteresseerden kunnen zoeken in data van niet-betalende slachtoffers.

De hackers maakten het hun slachtoffers duidelijk dat hun gestolen data was geïndexeerd en dat zoekopdrachten werken op bestandsnaam of op content die in documenten en afbeeldingen aanwezig is. De zoekresultaten worden vervolgens gehaald uit het ‘Collections’-onderdeel van de leksite van de hackers. De zoekresultaten hebben niet de meeste accuratesse, maar voldoende om het afpersmodel naar een hoger plan te tillen.

Reden voor het doorzoekbaar maken van gestolen data is volgens de hackers een soort van extra service. Hierdoor zouden andere cybercriminelen makkelijker wachtwoorden of andere vertrouwelijke informatie vinden voor andere aanvallen.

Overige ransomwaregroepen

Naast ALPHV/BlackCat hebben de bekende ransomware-aanvallers van LockBit 3.0 ook een werkende zoekfunctionaliteit ontwikkeld voor gestolen data. Deze functionaliteit is nu beschikbaar op de laatste versie van hun leksite. Deze zoekmachine is nog niet zo geavanceerd en biedt alleen de mogelijkheid te zoeken op de naam van slachtoffers en niet dieper in de bestanden.

Verder bieden ook de hackers van Karakurt zoekfunctionaliteit. Deze functionaliteit staat echter nog in de kinderschoenen en werkt nog niet naar behoren.

Wel is duidelijk dat het afpersen van bedrijven voor ransomware-aanvallen met deze technologie een nieuwe fase in gaat. Veel ransomwarebendes zullen dan ook in de komende tijd deze strategie gaan overnemen, zo is de verwachting.

Tip: Rust is geliefd onder ransomware-as-a-service-groepen

Lees meer