Wormhole-ransomware vergrendelt de bestanden van slachtoffers

In ons onderzoek naar de Wormhole-malware hebben we vastgesteld dat deze functioneert als ransomware met als voornaamste doel het versleutelen van bestanden en het eisen van losgeld voor de ontsleuteling. Naast het coderen van bestanden, verandert Wormhole de bestandsnamen door de extensie ".Wormhole" toe te voegen (bijvoorbeeld door de naam "1.jpg" te hernoemen naar "1.jpg.Wormhole", "2.png" naar "2.png.Wormhole", enzovoort ).

De ransomware presenteert ook een losgeldbrief ("Hoe bestanden te herstellen die zijn gecodeerd door Wormhole.txt") waarin de slachtoffers worden geïnstrueerd om met de aanvallers te communiceren via Tox of qTox (met downloadlinks voor deze tools). Het adviseert slachtoffers om een proxy te configureren als de chattool problemen met de internetverbinding ondervindt.

Bovendien bevat het briefje de Tox-ID van de aanvaller, die dient als een unieke identificatie voor communicatiedoeleinden. Het vraagt de ontvanger om een gecodeerd bestand samen met een Wormgat-ID te verzenden voor testdecodering.

Volledige losgeldbrief voor wormgaten

De volledige tekst van de losgeldbrief geproduceerd door Wormhole luidt als volgt:

Please contact us via Tox.chat tool or qtox tool
Download Tox.chat hxxps://tox.chat/download.html
Download qtox hxxps://github.com/qTox/qTox/blob/master/README.md#qtox
If your chat Tool cannot connect to the Internet, please set up a proxy.
Add our TOX ID and send an encrypted file and Wormhole ID for testing decryption.

Our TOX ID 503313BA88174FDF187C5009A43B45CBC144D313EFBF98BB75BFA084B5743E3ECA94499F95ED

Your Wormhole ID: -

Hoe wordt ransomware doorgaans online verspreid?

Ransomware wordt vaak online verspreid via verschillende methoden, waarbij vaak gebruik wordt gemaakt van social engineering-tactieken en kwetsbaarheden in software of systemen. Hier zijn enkele veelgebruikte distributiemethoden:

Phishing-e-mails: Een van de meest voorkomende methoden is phishing-e-mails die kwaadaardige bijlagen of links bevatten. Deze e-mails zijn ontworpen om legitiem over te komen en kunnen gebruikers ertoe verleiden bijlagen te openen of op links te klikken die ransomware downloaden en uitvoeren op hun systemen.

Schadelijke links: Ransomware kan worden verspreid via kwaadaardige links die worden gedeeld via e-mail, sociale media of instant messaging-platforms. Als u op deze links klikt, kan dit leiden tot het downloaden en uitvoeren van ransomware op het apparaat van het slachtoffer.

Exploitkits: Cybercriminelen gebruiken exploitkits om kwetsbaarheden in software of webbrowsers te misbruiken. Wanneer een gebruiker een gecompromitteerde website bezoekt, downloadt en installeert de exploitkit automatisch ransomware op de computer van het slachtoffer, zonder dat hij het weet.

Compromis van Remote Desktop Protocol (RDP): Aanvallers misbruiken zwakke of standaardreferenties voor Remote Desktop Protocol (RDP) om ongeautoriseerde toegang te krijgen tot het systeem van een slachtoffer. Eenmaal binnen zetten ze ransomware in om bestanden te versleutelen en eisen ze losgeld.

Malvertising: Schadelijke advertenties (malvertising) op legitieme websites kunnen gebruikers omleiden naar websites die ransomware hosten. Deze advertenties kunnen op populaire websites verschijnen en kwetsbaarheden in de browser of plug-ins van de gebruiker misbruiken om ransomware te leveren.