Nieuwe ransomware: een platformonafhankelijke toekomst

De nieuwe ransomwaresoorten Luna en Black Basta zijn in staat om Windows, Linux en VMware ESXi aan te vallen.

De nieuwe ransomwaresoorten Luna en Black Basta zijn in staat om Windows, Linux en VMware ESXi aan te vallen.

Ransomware-groepen richten zich de laatste tijd steeds vaker niet alleen op Windows-computers, maar ook op Linux-apparaten en virtuele ESXi-machines. We hebben al eerder de aandacht gevestigd op de BlackCat-bende, die malware verspreidt die geschreven is in de platformonafhankelijke taal Rust en die in staat is om dergelijke systemen te versleutelen. Onze experts hebben nog twee andere malware-families geanalyseerd die onlangs op het dark web zijn verschenen met vergelijkbare functionaliteit: Black Basta en Luna.

Black Basta — ransomware voor ESXi

Black Basta werd in februari voor het eerst ontdekt. Deze ransomware bestaat in twee versies: voor Windows en voor Linux, waarbij de laatste vooral gericht is op ESXi-images van virtuele machines. Een opvallend kenmerk van de Windows-versie is dat het systeem in de veilige modus wordt opgestart voordat het wordt versleuteld. Hierdoor kan de malware detectie door beveiligingsoplossingen omzeilen, want vele daarvan werken niet in de veilige modus.

Op het moment van de bekendmaking hadden de operators van Black Basta informatie vrijgegeven over 40 slachtoffers, met onder andere productie- en elektronicabedrijven en aannemers. Volgens Kaspersky bevinden hun doelwitten zich in de VS, Australië, Europa, Azië en Latijns-Amerika.

Luna — meer op Rust gebaseerde ransomware

In juni ontdekten onze onderzoekers de Luna-malware. Ook deze is in Rust geschreven en kan zowel Windows- als Linux-apparaten versleutelen, evenals ESXi-images van virtuele machines. In een advertentie op het dark web beweren de cybercriminelen alleen samen te werken met partners die Russisch spreken. Dit betekent dat de doelwitten die voor de aanvallers van belang zijn, zich hoogstwaarschijnlijk buiten de voormalige Sovjet-Unie bevinden. Dit blijkt ook uit het feit dat de losgeldbrief die in de code van de ransomware is opgenomen, in het Engels is geschreven, zij het met fouten.

Hoe beschermt u zichzelf tegen ransomware?

Ransomware vormt nog altijd een ernstige bedreiging voor het bedrijfsleven. Er blijven nieuwe spelers op de markt verschijnen en de meest ontwrichtende trends worden ook door hen snel opgepikt. Om veilig te blijven, moet u altijd op de hoogte zijn van het bedreigingslandschap en uw beveiligingsstrategie daarop baseren.

En vergeet niet dat alle bedrijfsapparatuur die met het internet is verbonden, uitgerust moet zijn met beveiligingsoplossingen, inclusief servers die op Linux draaien, want ook aanvallen op Linux vinden de laatste tijd steeds vaker plaats.

Tips