Met NoEscape lijkt de ransomwarebende Avaddon, die in het verleden slachtoffers heeft gemaakt, terug te keren. Sinds juni 2023 valt NoEscape grote bedrijven aan met double-extortiontechnieken. De cybercriminelen stelen data en versleutelen bestanden op Windows-, Linux- en VMware ESXi-servers. Hoe ernstig is de dreiging? We duiken in de nieuwe ransomware-aanval.
Belangrijk om te weten over NoEscape is dat het schadelijke software betreft die bestanden versleutelt om ze ontoegankelijk te maken. Bedrijven die slachtoffer zijn van de ransomware kunnen niet meer bij de bestanden. De aanvallers stelen ook de data om te dreigen met het publiekelijk maken van de gegevens. Alleen tegen betaling zal NoEscape de data niet publiceren. Het zou gaan om een losgeldsom van honderdduizenden tot miljoenen dollars, weet BleepingComputer. Zelfs losgeldbedragen van meer dan 10 miljoen dollar (zo’n 8,9 miljoen euro) komen voor.
Geschiedenis als Avaddon
Opvallend is dat het er alle schijn van heeft dat NoEscape de terugkeer van Avaddon inluidt, een ransomware-as-a-service (RaaS). RaaS wordt ontwikkeld door cybercriminelen met veel ervaring, die de schadelijke software daarna als dienst aanbieden. Ze bieden ook ondersteuning en betalingsopties aan. Een afnemer van ransomware-as-a-service voert vervolgens de aanval uit. Dit verlaagt de drempel om een ransomwareaanval uit te voeren, terwijl criminelen ook fors geld kunnen verdienen. Een afnemer van RaaS draagt doorgaans een gedeelte van het betaalde ransomwarebedrag af aan de ransomware-operator of betaalt een licentie.
Avaddon kwam begin 2019 op en past double-extortion toe, zo valt te lezen in een analyse van SentinelOne. Dat wil zeggen, het eist losgeld voor ontsleuteling én het niet publiekelijk vrijgeven van de gestolen data. Destijds werd Avaddon vooral populair door hogere winstpercentages te bieden aan afnemers van RaaS in vergelijking met andere RaaS-diensten.
In het verleden richtte de ransomware zich al op verschillende soorten organisaties. Bijvoorbeeld in de gezondheidszorg, overheid, financiële dienstverlening, juridische sector, horeca, onderwijs en retail. Sommige Avaddon-afnemers richtten zich echter op individuen in plaats van grote bedrijven. De RaaS-diensten wilden bovendien voorkomen dat aanvallen werden uitgevoerd in bepaalde landen van de voormalige Sovjet-Unie en hadden daarvoor controlemechanismen ingebouwd.
In 2021 stopte Avaddon en werden de decryptiesleutels vrijgegeven voor alle slachtoffers.
Rebranding
Ook NoEscape ontziet voormalige Sovjet-Unie-landen. Als zij slachtoffer zijn, kunnen zij gratis decryptiesleutels verwachten. Momenteel heeft de ransomwarebende ongeveer tien bedrijven uit verschillende landen en sectoren gepubliceerd als slachtoffer, wat aangeeft dat er opnieuw een breed aanvalsoppervlak is. De omvang van de gelekte data varieert van 3,7 GB tot 111 GB.
Avaddon was sinds juni 2021 niet meer waargenomen, totdat vorige maand plotseling NoEscape opdook. BleepingComputer legt het verband op basis van analyses van ID-Ransomware creator en ransomware-expert Michael Gillespie.
De encryptors van NoEscape en Avaddon zijn volgens deze securityexperts bijna identiek. Er is slechts één verandering in het encryptiealgoritme: Avaddon gebruikte AES voor het versleutelen van bestanden, terwijl NoEscape het Salsa20-algoritme gebruikt.
NoEscape maakt gebruik van dezelfde encryptielogica en bestandsformaten als Avaddon. Hierbij wordt een unieke methode gebruikt waarbij “de RSA-versleutelde blobs worden opgesplitst”. Nader onderzoek op basis van een analyse van Mandiant toont aan dat zowel de Avaddon- als NoEscape-encryptors ook hetzelfde configuratiebestand en richtlijnen gebruiken.
Geen ontkomen aan
De algemene tactiek van NoEscape lijkt op die van andere ransomware-aanvallen. Het krijgt toegang tot een bedrijfsnetwerk om zich vervolgens verder te verspreiden en probeert toegang te krijgen tot andere apparaten. Zodra het toegang heeft verkregen tot Windows-domeinbeheergegevens, verspreidt NoEscape de ransomware over het netwerk. Voordat de double-extortion tactiek het stadium van het versleutelen van bestanden bereikt, steelt het al bedrijfsdata.
Uit de malware-sample blijkt dat NoEscape een commando uitvoert om Windows Shadow Volume Copies en lokale Windows-backupcatalogi te verwijderen. Het probeert ook automatisch herstel van Windows uit te schakelen. Daarnaast worden diverse processen en diensten uitgeschakeld, waaronder beveiligingssoftware, back-upapplicaties, web- en databaseservers, QuickBooks en virtual machine-platforms. Tijdens het vergrendelen van bestanden gebruikt de encryptor de Windows Restart Manager API om processen te sluiten of Windows-services af te sluiten die een bestand open kunnen houden en het versleutelen kunnen voorkomen.
NoEscape kan tijdens de versleuteling drie modi gebruiken: full, partial of chunked. Bij “full” worden volledige bestanden versleuteld, bij “partial” wordt een bepaalde hoeveelheid megabytes versleuteld, en bij “chunked” wordt de versleuteling toegepast op kleine stukjes data.
Uiteindelijk toont NoEscape een bericht waarin wordt gemeld dat het bedrijfsnetwerk geïnfecteerd is. “Alle bestanden zijn versleuteld en gestolen!”, waarschuwt het bericht. Vervolgens is er een .txt-bestand met de mededeling: “We zijn geen politiek bedrijf en we zijn niet geïnteresseerd in uw privézaken. We zijn een commercieel bedrijf en we zijn alleen geïnteresseerd in geld.”
Na betaling krijgen slachtoffers een beschikbare decryptor te zien voor Windows XP, alle andere Windows-versies en Linux. Voor grote organisaties die VMware ESXi gebruiken, biedt NoEscape een extra shell-script voor herstel. Het is echter zoals vaak bij ransomware de vraag of het verstandig is om te betalen.
De overeenkomsten kunnen wijzen op verschillende zaken. Het is mogelijk dat de NoEscape-operators de broncode van de Avaddon-encryptor hebben gekocht. Onderzoekers die BleepingComputer heeft gesproken, denken echter dat een aantal sleutelspelers uit de Avaddon-campagne zich hebben aangesloten bij de nieuwe NoEscape-groep. Hierdoor lijkt het erop dat bedrijven na een periode van afwezigheid van Avaddon opnieuw worden getroffen door deze ransomware en niet zomaar kunnen ontsnappen uit de handen van NoEscape.
Tip: Hoe ransomware de sterspeler van cybercrime is geworden