Nieuwe ransomware Zenis vernietigt backups

encryptie

Een nieuwe vorm van ransomware genaamd Zenis versleutelt niet alleen data op getroffen systemen, maar probeert ook gericht backups van slachtoffers te vernietigen. De ransomware heeft al meerdere slachtoffers gemaakt.

Zenis is ontdekt door MalwareHunterTeam, dat de ransomware samen met Bleeping Computer heeft geanalyseerd. MalwareHunterTeam heeft twee versies van Zenis ontdekt: een vroege variant die gebruik maakt van een op maat gemaakte encryptiemethode en een latere versie die AES inzet. Op het moment van schrijven is er nog geen manier gevonden om versleutelde data te ontsleutelen. Michael Gillespie van MalwareHunterTeam is de ransomware echter aan het analyseren om kwetsbaarheden op te sporen die decryptie mogelijk maken. De partijen adviseren slachtoffers het geëiste losgeld dan ook niet te betalen.

Remote Desktop Services

Het is niet zeker hoe Zenis wordt verspreid. MalwareHunterTeam en Bleeping Computer melden echter dat de ransomware mogelijk via gehackte Remote Desktop Services wordt verspreid. Zodra de ransomware zich op een systeem heeft genesteld, verwijdert de malware Volume Shadow Copies, schakelt het Startup Repair uit en worden logbestanden gewist. Vervolgens stopt de ransomware verschillende processen, waaronder task manager en backup-processen.

Nadat het systeem op deze wijze is voorbereid begint Zenis met het versleutelen van bestanden. Hierbij richt de ransomware zich op een breed scala aan bestanden, variërend van foto’s, video’s en muziekbestanden tot tekstdocumenten, spreadsheets en presentaties. Ook worden cryptowallets versleuteld. Bij het versleutelen van een bestand wordt de bestandsnaam van bestanden gewijzigd om identificatie van specifieke bestanden te bemoeilijken. Hierbij wordt de volgende bestandsnaam gehanteerd: Zenis-[twee willekeurige karakters].[twaalf willekeurige karakters]. Als voorbeeld noemt Bleeping Computer een bestand genaamd test.jpg, dat door de ransomware de bestandsnaam Zenis-4Q.4QDV9txVRGh4 toegewezen kan krijgen.

Backups vernietigen

Bij het versleutelen van data zoekt Zenis gericht naar bestanden die gerelateerd zijn aan backups. Deze bestanden worden door de ransomware driemaal overschreven en vervolgens verwijderd. Dit maakt het voor slachtoffers moeilijker data uit een backup terug te halen.

MalwareHunterTeam en Bleeping Computer adviseren gebruikers waakzaam te zijn voor verdachte bestanden en daarnaast zeker te stellen dat Remote Desktop Services correct is geconfigureerd. De partijen adviseren zeker te stellen dat computers die Remote Desktop Services draaien niet direct verbonden zijn met internet en bij voorkeur achter een VPN zijn geplaatst. Ook raden de partijen aan Remote Desktop Services correct te configureren om brute force aanvallen te bemoeilijken en beveiligingssoftware te installeren die het gedrag van bestanden analyseert om onder meer ransomware vroegtijdig op te merken. Tot slot wordt gebruikers geadviseerd zeker te stellen dat hun systeem volledig up-to-date is om zeker te stellen dat aanvallers geen misbruik kunnen maken van bekende en gepatchte beveiligingsproblemen.

Lees ook
Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers

Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers

Onderzoekers van Proofpoint nemen sinds kort nieuwe activiteit waar van de aan Iran gelinkte dreigingsactor TA450. Deze dreigingsactor is ook bekend als MuddyWater, Mango Sandstorm en Static Kitten.

Drie trends voor cyberaanvallen in 2024

Drie trends voor cyberaanvallen in 2024

Allianz: in België blijven Cyberincidenten (bijv. cybercriminaliteit, verstoringen van IT-netwerken en -diensten, malware/ransomware, datalekken, boetes en straffen) het nummer één risico sinds 2018. In Nederland klommen Cyberincidenten vier posities naar de tweede plaats.

DataExpert kondigt overname Avian Digital Forensics aan

DataExpert kondigt overname Avian Digital Forensics aan

DataExpert kondigt de overname aan van Avian Digital Forensics, een Deens bedrijf gespecialiseerd in digitale recherche- en eDiscovery-technologieën. Met de overname van Avian versterkt DataExpert zijn aanwezigheid in de Scandinavische landen.