De nieuwste ransomware campagne is onwaarschijnlijk succesvol. Alhoewel er nog maar iets meer dan 4000 pc's zijn besmet en versleuteld, hebben al 653 mensen de criminelen afbetaald om weer bij hun dierbare of kritieke bestanden te kunnen. Slachtoffers betalen gemiddeld zo'n 1,3 Bitcoin (BTC), ongeveer 400 euro. Dat meldt Fox-IT, die actief de spam- en infectierun volgt.
Spearphishing
Die is nu ruim een maand bezig en heeft tot nog toe vooral slachtoffers gemaakt in Australië en Engeland. Maar sinds begin vorige week zijn Nederlanders de klos. Zij worden beetgenomen door een track & trace-mail die zogenaamd van PostNL komt. De tekst is klassiek slecht Nederlands, maar zijn wel veelal zeer gericht met de naam van het slachtoffer in de aanhef. Daarmee is het feitelijk een spearphishingmail, waar veel mensen intrappen.
Uit dit screenshot is de naam weggelakt
Dit is mogelijk omdat de malware ook e-mailadressen en namen uit mailclients zoals Outlook van het slachtoffer zuigt. Zo wordt de database voor de spamrun constant aangevuld met betrouwbare mailadressen en namen. Ook worden e-mailaccounts zelf gekaapt door waar mogelijk inloggegevens van IMAP/POP3/SMTP te achterhalen.
Er komt geen exploit bij kijken, het slachtoffer moet zelf op een nep-site informatie downloaden. Deze bevat echter een executable die de meeste bestanden op de pc versleuteld met de TorrentLocker ransomware. Een eerste versie daarvan bevatte nog een fout, maar voor de laatste versie is nog geen decryptietruc of -tool beschikbaar, bevestigt Fox-IT desgevraagd.
Geen geldezels meer nodig
Opmerkelijk is de hoge conversie wel, aangezien de slachtoffers alleen met Bitcoin de criminelen kunnen afbetalen. Voorheen werd vaak gebruik gemaakt van bankrekeningen van geldezels. Een bestaande rekening wekt meer vertrouwen en maakt de transactie laagdrempelig. Maar zonder geldezels is de hele operatie wel beter schaalbaar voor de criminelen, constateert Fox-IT.
De bende heeft ten minste zeven Bitcoin-adressen waar het losgeld heen gaat. Concullega-securityexpert Rickey Gevers meldt dat Nederlandse slachtoffers al zo'n 25 duizend euro aan BTC hebben overgemaakt naar één Bitcoin-adres.
PostNL stuurt quasi-phishingmail
PostNL waarschuwt sinds vorige week voor de phishingcampagne. Het bedrijf blunderde echter: de waarschuwingsmail bevatte een taalfout én een link, terwijl het juist maande niet op een link te klikken.
Ik heb die mail van PostNL ook gehad (de waarschuwing, niet de spearfishing) en ik vertrouwde het van geen kanten. Zoals gemeld stonden er een taalfout en een link in, waarbij de link niet rechtstreeks naar een (sub)domein van PostNL verwees. Dan staat er een verwijzing naar een bericht op de MijnPakket Homepage, dus ik heb op die pagina ingelogd, maar het hele bericht is niet te vinden.
Kortom, ik had heel sterk het idee dat de spearfishers hun campagne een vervolg hadden gegeven om de twijfelaars over de streep te trekken. Gelukkig blijkt het echter toch een legitieme waarschuwing te zijn.
Wel erg slordig, PostNL!
Het lijkt me geen goed idee om dergelijke sencuur door de overheid te laten uitvoeren
het wordt een keer tijd dat de overheid de bevoegdheid krijgt om alle spam op het nederlandse internet te filteren voordat het de consument bereikt en gewoon te blokkeren.
veel spam kan voorkomen worden door spam en buitenlandse ip nummers te blokkeren na een waarschuwing. dus de bekende spam servers kunnen gewoon geen mail meer afleveren bij nederlandse isp zoals ziggo of andere internet bedrijven met veel nl klanten.
dat is de oplossing. want de gemiddelde nederlander krijgt voornamelijk spam in plaats van emails van zakelijke contacten.
er kan dus veel met spamfilters bij nederlandse internetbedrijven die nu nog ongebruikt worden door de commerciele vvd wetgeving. de nieuwigheid is wel wat internet af na bijna twintig jaar.
Reageer
Preview