Hackers verkopen slachtoffers security-advies

Een nieuwe cryptolocker doet de ronden bij bedrijven. De malware, Phobos genaamd, misbruikt slecht beveiligde RDP-poorten om bestanden te versleutelen in ruil voor losgeld. Wie de cybercriminelen contacteert om over het bedrag te onderhandelen, krijgt en wel erg unieke deal voorgeschoteld.

Beveiligingsonderzoekers van Coveware waarschuwen voor een nieuw stuk malware dat bedrijven viseert. Phobos is een cryptolocker die organisaties binnendringt via slecht beveiligde remote desktop protocol (RDP)-poorten. Zodra de cryptolocker voet aan grond heeft, versleuteld hij bestanden. Vervolgens krijgen gebruikers een vraag tot losgeld te zien.

Noch het type malware, noch de aanvalsvector zijn nieuw. Phobos lijkt een herwerkte versie van Dharma, een heel gelijkaardig type malware afkomstig van dezelfde groep overtreders. Zelfs het ransomwarebericht is gelijkaardig.

Upsell

Wie overweegt te betalen en contact opneemt met de criminelen om te onderhandelen, wordt getrakteerd op een poging tot upsell. Concreet bieden de hackers je aan om niet alleen je bestanden vrij te geven, maar voor de kleine meerprijs van 0,1 Bitcoin willen ze je ook beveiligingsadvies geven. Over de kwaliteit van dat advies iets niets geweten.

De Phobos-ransomware maakt zoals veel kwaadaardige software geen gebruik van ongeziene 0-day-kwetsbaarheden. Het virus buit volledig te vermijden kwetsbaarheden uit. Een goede beveiliging voorzien, update, maar ook back-ups maken zijn essentieel. Bescherm je back-ups bovendien op voldoende wijze, zodat cryptolockers als Phobos er zeker geen toegang tot hebben, ook al zijn ze de rest van het netwerk binnengedrongen. Zo voorkom je dat je groeperingen zoals die achter Phobos losgeld moet betalen, en moet je al zeker geen Bitcoin investeren in extra beveiligingsadvies.

Gerelateerd: Hoe het succes van de SamSam-ransomware WannaCry doet verbleken