Ransomware-groep richt zich op SharePoint zero-day

Securityonderzoekers hebben een nieuwe ransomware-variant ontdekt die gebruikmaakt van eerder bekende SharePoint-kwetsbaarheden. De 4L4MD4R-ransomware, gebaseerd op open-source code, verspreidt zich via een mislukte PowerShell-aanval en eist 0,005 BTC losgeld.

Dat stelt onderzoek van Palo Alto Networks. Een mislukte exploitatiepoging op 27 juli 2025 heeft geleid tot de ontdekking van de 4L4MD4R-ransomware. Palo Alto identificeerde een loader die was ontworpen om ransomware te downloaden en uit te voeren vanaf een externe server.

De aanvallers probeerden via een gecodeerde PowerShell-command securitymechanismen te omzeilen door real-time monitoring uit te schakelen en certificaatvalidatie te negeren. Deze tactiek zien we vaker bij moderne cyberaanvallen.

Technische analyse van de payload

Bij nader onderzoek blijkt dat de 4L4MD4R-ransomware is geschreven in GoLang en UPX-gecomprimeerd is. Het programma werkt in verschillende stappen: eerst decrypteert het een AES-versleutelde payload in het geheugen, vervolgens wijst het geheugen toe om het gedecodeerde PE-bestand te laden, en tenslotte creëert het een nieuwe thread voor uitvoering.

Deze malware is gebaseerd op de open-source Mauri870-code, wat verklaart waarom het twee specifieke bestanden op het bureaublad genereert: DECRYPTION_INSTRUCTIONS.html met het losgeldbericht en ENCRYPTED_LIST.html met een overzicht van versleutelde bestanden. Het bericht zit er als volgt uit.

Screenshot van een losgeldbrief van 4L4MD4R ransomware, met details van versleutelde bestanden, waarschuwing tegen bestandswijziging en betaling in cryptocurrency voor herstel.

Slachtoffers wordt gevraagd 0,005 BTC te betalen, een relatief laag bedrag vergeleken met andere ransomware-aanvallen. Voor deze betaling krijgen ze een contact-e-mailadres (m4_cruise@proton[.]me) en een Bitcoin-wallet-adres. De bescheiden losprijseis suggereert dat de aanvallers mikken op een hoog volume aan infecties in plaats van grote betalingen per slachtoffer.

De ransomware is geconfigureerd om te communiceren met een C2-server via POST-requests. Hierbij worden versleutelde JSON-objecten verstuurd met informatie over het geïnfecteerde systeem.

Deze infrastructuur vertoont overeenkomsten met eerdere aanvallen. Zoals we zagen bij de recente SharePoint-exploits, hergebruiken cybercriminelen vaak bewezen technieken voor verschillende campagnes.

Lees meer over Security

Expert aan het woord

Ransomware-groep richt zich op SharePoint zero-day

Technische analyse van de payload

Blijf op de hoogte, abonneer!

Palo Alto Networks koopt CyberArk voor 25 miljard dollar: waarom?

Kwartaalcijfers Microsoft imponeren kort na grote ontslagronde

Cisco doneert AGNTCY aan Linux Foundation: komt Internet of Agents eraan?

Lidl-eigenaar bouwt Europese soevereine cloud

HPE takes a full-stack approach to the AI Factory

What is HPE's Unleash AI program and how does it help companies?

What is HPE VM Essentials and is it a direct competitor to VMware?

Why does Digital Realty standardize on HPE for operations?

Hoe voldoe je aan de groeiende eisen van AI-gedreven security?

Versterk je securitystrategie met Synology ActiveProtect Appliance

Hoe CIO’s valkuilen met Agentic AI omzeilen en meer rendement halen

CVE-database: alweer een wake-upcall voor Europa

GITEX DIGI_HEALTH 5.0 - Thailand

IT Arena

Innovation Week 2025

Luxembourg Venture Days

Appdevcon

Webdevcon

Verbeter je digitale ervaringen met de Cisco AI Assistant

Verbeter de beveiliging van je servers

Ervaar gratis Synology’s nieuwste enterprise backup-oplossing

Versnel je AI-succes met NVIDIA AI Computing van HPE