image

LeChiffre-ransomware besmet Indiase banken

zondag 24 januari 2016, 10:35 door Redactie, 5 reacties

Windowscomputers van verschillende banken en een farmaceutisch bedrijf uit India zijn begin deze maand met de "LeChiffe-ransomware" besmet geraakt. In tegenstelling tot veruit de meeste ransomware die zich via e-mailbijlagen, drive by-downloads of al aanwezige malware verspreidt, moet LeChiffre handmatig op computers worden uitgevoerd, zo stelt anti-malwarebedrijf Malwarebytes.

De aanvallers maken hiervoor gebruik van de remote desktopfunctie van Windows. Via remote desktop is het mogelijk om op afstand op computers in te loggen. Volgens Malwarebytes zoeken de aanvallers naar slecht beveiligde computers die via remote desktop toegankelijk zijn. Zodra het wachtwoord is gekraakt wordt er via remote desktop ingelogd en de ransomware op de computer uitgevoerd. LeChiffre versleutelt bestanden voor losgeld. De naam van de ransomware is afkomstig van de extensie van versleutelde bestanden, die op .LeChiffre eindigt. Naast het versleutelen van bestanden installeert LeChiffre ook een backdoor op het systeem.

De Times of India berichtte eerder al over de infecties bij de drie banken en het farmaceutische bedrijf. Om welke banken het gaat is niet bekendgemaakt. Wel meldt de krant dat de aanvallers de computers van de systeembeheerders wisten over te nemen. Voor het ontsleutelen van de bestanden werd 1 bitcoin gevraagd, wat overeenkomt met 360 euro. "De afgelopen weken zijn veel bedrijven, waaronder verschillende banken en farmaceutische bedrijven, aangevallen door hackers", aldus Mukul Shrivastava van EY.

Hij stelt dat bedrijven voor zo'n 15 computers het losgeld hebben betaald, zodat de directeuren hun computers weer konden gebruiken. Hoeveel computers bij de drie banken besmet raakten en wat de impact was, is onbekend. In tegenstelling tot wat Malwarebytes beweert, stelt de Times of India dat alle aanvallen met een e-mail gericht aan de systeembeheerder begonnen. Na infectie van de systeembeheerder zijn computer werden de overige computers geïnfecteerd.

Reacties (5)
24-01-2016, 11:24 door Anoniem
Remote desktop stond op mijn windows-bakjes standaard aan.
Daarom maar gauw uitgezet.
24-01-2016, 16:50 door karma4
remote desktop van buiten af, beheerder met niet gescheiden rechten. Geen herstel actie/herkenning (backup) want losgeld betaald. Sorry dat zijn een aantal flaters in security-awareness. Komt op elke OS voor, hetgeen vrij triest is.
24-01-2016, 22:16 door Anoniem
Laat james bond dit even fixen, hij heeft Le Chiffre al eerder weten te verslaan ;)
24-01-2016, 22:56 door Anoniem
Zouden die mensen dan ook te maken krijgen met slecht Engels sprekende, helpdeskmedewerkers?
27-01-2016, 05:22 door Anoniem
Door karma4: remote desktop van buiten af, beheerder met niet gescheiden rechten. Geen herstel actie/herkenning (backup) want losgeld betaald. Sorry dat zijn een aantal flaters in security-awareness. Komt op elke OS voor, hetgeen vrij triest is.

Grappig dat jij precies weet wat wel en niet fout gegaan is. Misschien moet je even contact opnemen of je het bij het juiste eind heb !
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.