Posted by Godert Jan van Manen | Posted in Nieuwsberichten | Posted on 30-06-2009
0
Er gaat een nieuwe e-mailworm rond die bestanden gijzelt door ze te versleutelen, maar in tegenstelling tot andere ransomware, vraagt het niet om losgeld. Eenmaal actief op het systeem, versleutelt Worm.Ransom.FD alle bestanden met het Blowfish algoritme. Vervolgens laat de worm een berichtje achter, waarin het slachtoffers drie opties biedt. Als eerste krijgt men het advies om met een anti-virusbedrijf contact op te nemen, zodat die de bestanden kunnen ontsleutelen.
De tweede optie is het vragen van een ontsleutelingsprogramma door een e-mail naar een Yahoo adres te sturen. Als laatste adviseert de virusschrijver om “de PC uit het raam te gooien of een beter besturingssysteem te gebruiken, zoals Linux.” Anti-virusbedrijf Trend Micro heeft inmiddels een tool online gezet die de bestanden ontsleutelt.
Money trail
“Onze experts geloven dat ransomware een zeer risicovolle ‘business’ is die matig betaalt en niet erg veel zal groeien. Dit komt omdat het tegen de belangrijkste features ingaat die de meeste cybercriminelen gebruiken als het om de ontwikkeling van malware gaat, en dat is onzichtbaarheid. Bijna alle aspecten van een ransomware aanval zijn goed zichtbaar”, zegt Jessa De La Torre. Dat geldt niet alleen voor de malware, maar ook voor het betalingsverkeer. De cybercrimineel moet zijn of haar adres achterlaten zodat slachtoffers contact op kunnen nemen, wat opsporingsdiensten weer helpt bij het vinden van de criminelen.
Posted by Godert Jan van Manen | Posted in Nieuwsberichten | Posted on 05-06-2009
0
Beveiligingsexperts hebben de afgelopen maanden Trojaanse paarden ontdekt die op Oost-Europese geldautomaten waren geïnstalleerd en de magneetstrip en pincode van pinpassen kopieerden. De automaten waar de malware op werd aangetroffen draaide Windows XP. Volgens de onderzoekers bevatte de malware geavanceerde management functionaliteit die de aanvaller via een aangepaste user interface volledige controle over de geldautomaat geeft. De interface is verkrijgbaar door een controllerkaart in de kaartlezer van de geldautomaat in te voeren.
Voor zover bekend beschikt de malware niet over netwerk eigenschappen die het in staat stelt om de gestolen gegevens via het internet naar andere locaties door te sturen. Wel is het mogelijk om de verzamelde pasgegevens via de printer van de geldautomaat uit te printen of naar een opslagmedium weg te schrijven. Er zouden inmiddels 16 varianten van de malware zijn verschenen, die alleen door individuen die toegang tot de automaten hebben, zijn te installeren. In maart van dit jaar waarschuwde anti-virusbedrijf Sophos al dat het malware in Russische Diebold geldautomaten had ontdekt. De onderzoekers van SpiderLabs weten niet of hun ontdekking met die van Sophos verband houdt. Wel is duidelijk dat de malware op de machines van meerdere fabrikanten werkt. Volgens McAfee kan de malware alleen automaten met Diebold software infecteren.
Controle
Trustwave, waar de onderzoekers van SpiderLabs onder vallen, adviseert banken en andere financiële instellingen om hun machines ook op malware te controleren. Het bedrijf is een dienstverlener voor de financiële sector. “Deze systemen die met financiële netwerken verbonden zijn, zitten letterlijk in het open en zijn kwetsbaar. De meeste van deze systemen worden niet in de gaten gehouden”, zegt Nicholas Percoco. Hij merkt op dat de levenscyclus van de malware zich snel ontwikkelt.
