Deze website maakt gebruik van cookies. Voor meer informatie over de cookies waarvan deze website gebruik maakt klik hier.
Door verder op deze website te surfen geeft u de toestemming aan Minoc Data Services om cookies te gebruiken. verder gaan
 
ransomware

Cybercriminelen kapen nu ook ransomware-losgeld van collega’s

Karen Gijsbrechts

 
Enkele cybercriminelen slaan munt uit de ransomware-aanvallen van een ander, zo blijkt. Een kleine ingreep maakt dat zij ongemerkt met het losgeld van het slachtoffer gaan lopen.

 

Ironie ten top: cybercriminelen kunnen fluiten naar hun opbrengsten nadat enkele collega-misdadigers erin geslaagd zijn om het geld van ransomware-slachtoffers om te leiden naar hun eigen Bitcoin-portefeuilles. Het losgeld verdwijnt op die manier in de zakken van de verkeerde cybercrimineel. Vooral de gebruiker is daarvan de dupe: hij ziet zijn gegevens, noch zijn geld terug.

 

Tor-proxy

De zwendel werd voor het eerst opgemerkt door security-wetenschappers bij Proofpoint. Cybercriminelen gebruiken een man-in-the-middle-aanval om de betaalgegevens van andere misdadigers te vervalsen. Wanneer een slachtoffer van een ransomware-aanval probeert te betalen om zijn data vrij te kopen, wordt het geld naar een andere account gesluisd.

De aanval wordt mogelijk gemaakt door één van de manieren waarop cybercriminelen hun slachtoffers aanraden te betalen. Ransomware-betalingen gebeuren namelijk vaak via de Tor-browser, de browser die gebruikt wordt om anoniem naar het darkweb te surfen, maar verlopen soms ook via een Tor-proxy. Zo’n proxy laat toe om bepaalde pagina’s in het darkweb te bezoeken, zonder dat je de hele Tor-browser moet installeren: door een bepaald suffix toe te voegen – zoals .to of .cab – wordt de gevraagde url geopend in je normale browser. Op de pagina kan de gebruiker met enkele klikken geld overmaken aan de vermelde Bitcoin-portefeuille.

Net via zulke proxy’s zijn cybercriminelen erin geslaagd om de gegevens op de pagina aan te passen. In de aanval wordt het adres van de Bitcoin-portefeuille vervangen door een eigen portefeuille. Wanneer de gebruiker betaalt, komt het geld daar terecht, in plaats van het account van de initiële aanvaller.

 

Bron: Proofpoint

16.000 euro

Volgens Proofpoint werd de aanval gedetecteerd bij betalingen voor ransomware als LockeR, GlobeImposter en Sigma. Hoeveel Bitcoins er op die manier in het totaal werden ontfutseld, is niet te achterhalen. Wel werden al 2 Bitcoins, omgerekend een slordige 16.000 euro, gevonden in enkele portefeuilles die gebruikt werden om geld af te tappen. Het is mogelijk dat er meerdere portefeuilles worden gebruikt.

 

De getroffen cybercriminelen gingen inmiddels  in de tegenaanval. Op bepaalde betaalpagina’s wordt al gewaarschuwd voor de list, en worden gebruikers aangeraden om te betalen via de Tor-browser. Sommige cybercriminelen nemen stappen om hun eigen betaalgegevens beter te beschermen, bijvoorbeeld door de HTML-code achter de eigen Bitcoin-portefeuille te verdelen in vier stukken, wat het vervangen van de code moeilijker maakt.

 

De aanval is een opdoffer voor cybercriminelen die hun losgeld in het water zien vallen, maar ook een ramp voor het eigenlijke slachtoffer. Niet alleen is hij zijn geld kwijt, ook zijn gegevens worden niet vrijgegeven omdat het geld nooit tot bij de gijzelaar is geraakt. Het voorval bewijst opnieuw waarom het nooit een goed idee is cybercriminelen te betalen.

 

Reacties

comments powered by Disqus
 

RECENT NIEUWS