Nieuwe ransomware XData verspreidt zich sneller dan WannaCry

Opnieuw is ransomware opgedoken die zich in een hoog tempo naar systemen verspreidt. De ransomware XData is momenteel voornamelijk actief in Oekraïne en heeft zich hier nog sneller weten te verspreiden dan de WannaCry ransomware, die onlangs veel slachtoffers wist te maken.

XData is ontdekt voor MalwareHunter. Deze beveiligingsonderzoeker heeft de dienst ID-Ransomware (IDR) ontwikkeld, waar gebruikers ransomware-examplaren kunnen uploaden voor analyse. Via deze dienst werd ook XData geüpload. MalwareHunter meldt dat uit cijfers van IDR blijkt dat XData de op één na snelste verspreidende ransomware is, waarbij de ransomware alleen Cerber voorlaat.

Alert: XData ransomware is attacking Ukraine very hard, likely worse than WannaCry for them.

95%+ of victims are from there.

Past 4 hours: pic.twitter.com/dM6US55O2d

— MalwareHunterTeam (@malwrhunterteam) 19 mei 2017

Gerichte aanval

Uit de cijfers blijkt dat XData in uitsluitend Oekraïne in 24 uur tijd 135 systemen heeft eten te besmetten. In dezelfde periode wist WannaCry zich op ‘slechts’ zo’n 30 systemen te nestelen. Overigens besmet XData ook mondjesmaat systemen buiten Oekraïne; ook in Duitsland, Estland en Rusland zijn enkele besmettingen gemeld. Aangezien besmettingen met XData voornamelijk in Oekraïne plaatsvinden is er vermoedelijk spraken van een gerichte aanval. “We kunnen stellen dat Oekraïne ‘onder vuur’ ligt”, aldus Malware Hunter in een tweet.

Beveiligingsbedrijf Emsoft heeft een analyse gepubliceerd van de ransomware. Het bedrijf meldt dat bij XData in tegenstelling tot WannaCry staat de hoogte van het losgeld niet vast staat en afhankelijk lijkt te zijn van het soort slachtoffer. Zo moeten besmette bedrijven vermoedelijk meer losgeld betalen dan individuen.

Geen encryptietool beschikbaar

Het is niet duidelijk hoe de ransomware zich verspreid. Op het moment van schrijven is er geen methode beschikbaar om gegijzelde data weer toegankelijk te maken.