Onderzoekers hebben een variant van de Ragnarok-ransomware ontdekt die voor het versleutelen van bestanden op computers eerst de software van managed serviceproviders uitschakelt. Het gaat dan om programma's zoals Kaseya, Veeam, ConnectWise, Pulseway en Splashtop.
Managed serviceproviders gebruiken deze software voor het op afstand beheren van de systemen van hun klanten. Zodra de Ragnarok-ransomware, ook wel Ragnar Locker genoemd, deze programma's ontdekt worden die eerst uitgeschakeld, waarna het versleutelen van de bestanden begint, zo meldt securitybedrijf Huntress. Mogelijk dat de aanvallers deze software uitschakelen om de managed serviceprovider niet te laten merken dat de systemen van klanten worden versleuteld.
Eind januari werd bekend dat de Ragnarok-ransomware onder andere via een beveiligingslek in Citrix werd verspreid. Voor het ontsleutelen van bestanden vraagt Ragnarok 8.000 euro voor één computer en 40.000 euro voor alle machines. In een filmpje dat Huntress van de ransomware maakte wordt echter 60 bitcoin gevraagd, wat zo'n 545.000 euro is. De aanvallers laten in de instructies aan het slachtoffer verder weten dat gevoelige gegevens zijn gestolen en openbaar zullen worden gemaakt als er niet wordt betaald. Onlangs liet beveiligingsonderzoeker Vitali Kremez weten dat Ragnarok zichzelf uitschakelt wanneer op het systeem de taalinstelling van bepaalde voormalige Sovjet-landen wordt aangetroffen.
De afgelopen maanden zijn honderden bedrijven besmet geraakt door ransomware omdat aanvallers hun managed serviceprovider wisten te compromitteren. De aanvallers wisten binnen te dringen bij de it-dienstverlener en daarvandaan de klanten van deze providers aan te vallen. Onder andere honderden Amerikaanse tandartspraktijken raakten zo besmet.
Deze posting is gelocked. Reageren is niet meer mogelijk.