De Ryuk-ransomware die onlangs het productieproces van verschillende Amerikaanse kranten platlegde en een hostingprovider en waterleidingbedrijf trof wordt door andere malware op systemen geïnstalleerd. Deze malware wordt Trickbot genoemd en verspreidt zich via Office-documenten die van malafide macro's zijn voorzien. Dat laat securitybedrijf FireEye in een analyse weten.
De Ryuk-ransomware verschilt van veel andere ransomware doordat aanvallers de malware handmatig installeren. De aanvallers proberen ook zoveel mogelijk systemen binnen een getroffen organisatie te infecteren. Vervolgens worden hoge bedragen gevraagd voor het ontsleutelen van getroffen systemen. Vorig jaar augustus meldde securitybedrijf Check Point dat aanvallers via de Ryuk-ransomware al 640.000 dollar van slachtoffers hadden ontvangen.
Hoe slachtoffers met de Ryuk-ransomware besmet raakten is niet in alle gevallen duidelijk. Vorig jaar rapporteerde securitybedrijf Barkly dat de Trickbot- en Emotet-malware bij de verspreiding waren betrokken. Deze malware-exemplaren weten systemen via besmette e-mailbijlagen te infecteren. Iets dat nu ook door securitybedrijven Kryptos Logic, FireEye en CrowdStrike wordt gemeld.
FireEye stelt dat het een infectie heeft waargenomen waarbij een kwaadaardige Excel-bijlage de Trickbot-malware op systemen installeerde. Deze infecties leidden vervolgens tot de besmetting door de Ryuk-ransomware. De kwaadaardige e-mailbijlage werd op grote schaal onder Amerikaanse organisaties verspreid, waaronder overheidsinstanties, financiële dienstverleners, productiebedrijven en dienstenaanbieders. Zodra gebruikers de Excel-bijlage openden werd gevraagd om macro's in te schakelen. Wanneer dit werd gedaan kon de Trickbot-malware op het systeem worden gedownload en geïnstalleerd.
Organisaties en gebruikers worden al lange tijd gewaarschuwd voor het inschakelen van macro's in Office-documenten. Toch blijkt in de praktijk dat aanvallen via dit soort bijlagen succesvol blijven.
Deze posting is gelocked. Reageren is niet meer mogelijk.