Ransomwarecriminelen ook na versleuteling actief op aangevallen netwerk

Cybercriminelen die organisaties met gijzelsoftware infecteren, blijven na het encrypten van systemen actief op deze aangevallen netwerken. Ze lezen mee met de berichten die hun slachtoffers ontvangen en verzenden.

Dat heeft consequenties voor de wijze waarop getroffen bedrijven om dienen te gaan met de infectie en het herstel. Dat heeft John Fokker, hoofd cyberonderzoek en principal engineer bij antivirusbedrijf McAfee, recentelijk gezegd tegen Bleeping Computer.

Initiële aanval

“We zijn bekend met verschillende gevallen waarbij de ransomwarecriminelen op het netwerk van een slachtoffer actief bleven, nadat ze hun ransomware hadden uitgerold. In deze gevallen versleutelden de aanvallers de back-ups van slachtoffers na de initiële aanval of tijdens onderhandelingen, wat duidelijk maakte dat de aanvallers nog steeds toegang hadden en de e-mail van het slachtoffer lazen”, aldus John Fokker.

VT San Antonio Aerospace

Recentelijk is de Amerikaanse vliegtuigreparateur VT San Antonio Aerospace aangevallen met Maze-ransomware. Criminelen openbaarden meerdere documenten die ze van het bedrijf hadden gestolen. Op deze manier wilden ze het gevraagde losgeld afdwingen. Eén van de documenten die de aanvallers publiceerden, betrof de aanval met gijzelsoftware. Daaruit valt te concluderen dat de aanvallers nog steeds toegang hadden op het moment dat VT San Antonio Aerospace het incident onderzocht.

Aanmelden voor onze nieuwsbrief