Onderzoekers hebben een nieuwe vorm van ransomware ontdekt die gegevens van allerlei populaire computergames versleutelt zoals Call of Duty, Minecraft en World of WarCraft, alsmede bestanden van iTunes. Het gaat om een variant van de Cryptolocker-ransomware die via een recent gepatcht lek in Flash Player en een ouder lek in IE wordt verspreidt, zo laat beveiligingsbedrijf Bromium in een rapport aan Security.NL weten.
Hiervoor gebruiken de cybercriminelen Flash-advertentiebanners. Een besmette banner stuurt bezoekers van de website waarop die wordt getoond automatisch door naar een andere website, waar wordt geprobeerd om de computer via de kwetsbaarheden in IE en Flash Player te infecteren. Opmerkelijk is dat de banner alleen gebruikers van Internet Explorer en Opera doorstuurt.
Is de aanval succesvol dan zal de ransomware 185 verschillende bestandsextensies versleutelen. Het gaat dan ook om bestanden van computergames. Iets wat volgens Bromium niet eerder is voorgekomen. De ransomware zoekt naar specifieke spellen en directories van gamingsoftware, zoals Steam, uitgevers en ontwikkelsoftware. Wat opvalt is dat er veel "klassiekers" tussen staan, zoals Diablo, Fallout 3, Half-Life 2 en WarCraft 3. Ook zijn verschillende online games het doelwit, waaronder World of Warcraft, Day Z, League of Legends en World of Tanks.
"Het versleutelen van deze games laat een evolutie in de crypto-ransomware zien, waarbij cybercriminelen zich op niches richten", aldus de onderzoekers. Volgens Bromium kan het voorkomen dat jongvolwassenen geen belangrijke bestanden op hun computers hebben staan en foto's in de cloud bewaren. "Maar de meesten hebben zeker een Steam-account met een aantal spellen en een iTunes-account vol met muziek."
"Zelfs voor volwassenen kunnen deze aanvallen frustrerend zijn, als ze hun spellen met de rest van hun persoonlijke data verliezen." Opmerkelijk aan de spellen die worden versleuteld is dat het om populaire spellen gaat, maar niet om games die op dit moment bovenaan de lijst van meest gespeelde of meest verkochte games staan. Er wordt dan ook niet uitgesloten dat de ransomware-maker games heeft gekozen die hij zelf graag speelt.
Het rapport is inmiddels door Bromium openbaar gemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.