GandCrab

GandCrab ransomware is een soort malware die de bestanden van een slachtoffer versleutelt en losgeld vraagt om weer toegang tot de data te krijgen. GandCrab richt zich op consumenten en bedrijven met pc's die Microsoft Windows draaien.

DOWNLOAD MALWAREBYTES GRATIS

Ook voor Windows, iOS, Android, Chromebook en Voor Bedrijven

Op 31 mei 2019 deden de cybercriminelen achter de GandCrab ransomware iets ongewoons in de wereld van malware. Ze kondigden aan dat ze hun activiteiten stopzetten en mogelijk miljoenen dollars laten liggen.

"Alle goede dingen komen tot een einde," schreven ze in een zelfvoldane post op een berucht cybercrime forum. Sinds de lancering in januari 2018 claimen de auteurs van GandCrab meer dan $2 miljard aan illegale losgeldbetalingen binnengehaald te hebben en het was tijd "voor een welverdiend pensioen."

"We hebben dit geld succesvol geïnd en witgewassen in verschillende sectoren van het officiële bedrijfsleven, zowel in het echte leven als op het internet," vervolgde de post. "We hebben bewezen dat boze daden geen vergelding met zich meebrengen."

Geaffilieerde partners, zij die hielpen de ransomware te verspreiden in ruil voor een deel van de winst, werden aangemoedigd hun activiteiten te stoppen, terwijl slachtoffers werd verteld om nu te betalen of hun versleutelde gegevens voorgoed te verliezen.

De post eindigde met een pittige dank aan iedereen in de affiliate community voor "al het harde werk."

Hoewel het een onderhoudende kleine opschepperij is, blijven er verschillende vragen onbeantwoord. Hebben de makers van GandCrab daadwerkelijk zo veel geld verdiend als ze beweren? Wie zijn deze lui eigenlijk en gaan ze echt met pensioen? En nog belangrijker, vormt de GandCrab ransomware nog steeds een bedreiging voor consumenten?

In dit artikel zullen we proberen al die blijvende vragen te beantwoorden, middelen te bieden voor slachtoffers en een epiloog te schrijven op het verhaal van GandCrab.

Wat is GandCrab?

GandCrab ransomware, voor het eerst waargenomen in januari 2018, is een soort malware die bestanden van slachtoffers versleutelt en losgeld vraagt om weer toegang tot hun gegevens te krijgen. GandCrab richt zich op consumenten en bedrijven met pc's die draaien op Microsoft Windows.

Omdat het klinkt als een seksueel overdraagbare aandoening, zou men kunnen denken dat een naam als "GandCrab" iets te maken heeft met de besmettelijke aard van de ransomware en de neiging om zich over zakelijke netwerken te verspreiden. Volgens ZDNet kan de naam GandCrab echter zijn afgeleid van een van de makers die online bekend staat als "Crab" of "Gandcrab".

GandCrab infecteert geen machines in Rusland of de voormalige Sovjet-Unie, wat een duidelijke aanwijzing is dat de auteur of auteurs uit de regio komen. Verder is er weinig bekend over de GandCrab crew.

GandCrab volgt een affiliate marketing bedrijfsmodel, ook bekend als Ransomware-as-a-Service (RaaS), waarbij laag-niveau cybercriminelen het zware werk doen van het vinden van nieuwe slachtoffers terwijl de dreigschrijvers vrij zijn om hun creatie bij te werken en verbeteren.

Legitieme bedrijven gebruiken voortdurend affiliate-modellen, met name Amazon. Stel bijvoorbeeld dat u een blog hebt waar u elektronica beoordeelt — denk aan koptelefoons, smartphones, laptops, computers, enzovoorts. Elk beoordeling bevat een unieke link die bezoekers in staat stelt het gepresenteerde artikel op Amazon te kopen. In ruil voor het sturen van de klant naar Amazon krijgt u een percentage van de aankoopprijs.

Bij GandCrab geven de dreigschrijvers hun technologie aan andere ondernemende cybercriminelen (d.w.z. affiliates). Vanaf daar is het aan de affiliates om uit te vogelen hoe ze nieuwe klanten (d.w.z. slachtoffers) zullen vinden. Betaald losgeld wordt verdeeld tussen de affiliate en de GandCrab crew, in de verhouding van 60/40 of zelfs 70/30 voor top affiliates.

Cybersecurity-journalist Brian Krebs meldt dat een top affiliate $125,000 aan commissies verdiende in de loop van één maand.

Met behulp van het affiliate model kunnen criminelen met beperkte technische kennis deelnemen aan de ransomware-actie. En met laag-niveau criminelen verantwoordelijk voor het vinden en infecteren van machines, kunnen de makers van GandCrab zich richten op het herzien van hun software, het toevoegen van nieuwe functies en het verbeteren van de encryptietechnologie. Alles bij elkaar zijn er vijf verschillende versies van GandCrab.

Na infectie worden losgeldbrieven prominent op de computer van het slachtoffer geplaatst, met de instructie om naar een website op het Dark Web te gaan (het verborgen deel van het web dat je een speciale browser nodig hebt om te zien).

Wanneer ze op de Engelstalige versie van de website landen, zien slachtoffers het typefout-geladen bericht "WELCOME! WE ARE REGRET, BUT ALL YOUR FILES WAS INFECTED!"

Latere versies van de losgeldwebsite tonen Mr. Krabs van de animatieserie "Spongebob Square Pants". Blijkbaar maken cybercriminelen zich niet al te veel zorgen over auteursrechten.

Om eventuele angst om het losgeld te betalen weg te nemen, mogen slachtoffers van GandCrab één bestand naar keuze gratis ontsleutelen.

GandCrab-betalingen worden gedaan via een obscure cryptocurrency genaamd Dash—gewaardeerd door cybercriminelen vanwege de extreme focus op privacy. Losgeldeisen worden ingesteld door de affiliate, maar liggen meestal ergens tussen $600 en $600,000. Na betaling kunnen slachtoffers onmiddellijk de GandCrab-decryptor downloaden en weer toegang krijgen tot hun bestanden.

Als slachtoffers problemen hebben met het betalen van het losgeld of het downloaden van de decryptor-tool, biedt GandCrab 24/7 "gratis" online chatsupport.

"GandCrab volgt een affiliate marketing bedrijfsmodel, ook bekend als Ransomware-as-a-Service (RaaS), waarbij laag-niveau cybercriminelen het zware werk doen van het vinden van nieuwe slachtoffers terwijl de dreigschrijvers vrij zijn om hun creatie bij te werken en verbeteren."

Wat is de geschiedenis van GandCrab?

Je zou verkeerd zijn als je denkt dat ransomware een recente uitvinding is. In feite hebben alle vormen van ransomware, GandCrab inbegrepen, een basis sjabloon gevolgd dat dertig jaar geleden werd neergezet door een vroege vorm van computervirus.

De eerste proto-ransomware verscheen in 1989—letterlijk in de brievenbus van slachtoffers. Bekend als het AIDS-computervirus, verspreidde AIDS zich via 5,25” floppy disks die per post naar slachtoffers werden gestuurd. De disk was gelabeld “AIDS Information” en bevatte een korte enquête ontworpen om het risico van een individu op het oplopen van het AIDS-virus (het biologische) te meten.

Het laden van de enquête activeerde het virus, waarna het virus sluimerend bleef gedurende de volgende 89 opstartbeurten. Bij het starten van hun computer voor de 90ste keer kregen slachtoffers een schermmelding die betaling eiste voor "uw software-lease".

Losgeldbetalingen moesten naar een postbus in Panama worden gestuurd en in ruil daarvoor kregen slachtoffers een "vernieuwingspakket" dat de quasi-versleuteling zou omkeren.

De werkwijze voor GandCrab en andere moderne ransomware-dreigingen is relatief onveranderd sinds de dagen van het AIDS-computervirus. Het enige verschil is dat de hedendaagse cybercriminelen een breed arsenaal aan geavanceerde technologieën hebben waarmee ze consumenten kunnen targeten, infecteren en slachtoffer maken.

Toen GandCrab in januari 2018 voor het eerst werd waargenomen, verspreidde het zich via kwaadaardige advertenties (ook wel bekend als malvertising) en valse pop-ups die werden geserveerd door gecompromitteerde websites. Nadat slachtoffers op een kwaadaardige site terechtkwamen, kregen ze een schermmelding die hen aanspoorde om een ontbrekend lettertype te downloaden. Door dit te doen werd de ransomware geïnstalleerd.

Gelijktijdig met de lettertype-infectiecampagne verspreidde GandCrab zich ook via met malware geladen e-mailbijlagen (ook wel bekend als malspam) die werden verspreid door een botnet van gehackte computers (botnets worden ook gebruikt voor DDoS aanvallen). In een schoolvoorbeeld van social engineering trucs bevatten deze e-mails de onderwerpregel “Onbetaalde factuur #XXX." Gedreven door angst, nieuwsgierigheid of hebzucht openden slachtoffers de e-mail en de bijgevoegde, met malware beladen "factuur."

Voor het grootste deel van zijn korte maar destructieve loopbaan verspreidde GandCrab zich echter van de ene computer naar de andere via iets dat bekend staat als een exploitatiekit. Exploits zijn een vorm van cyberaanval die gebruik maakt van zwaktes of kwetsbaarheden op een doelsysteem om ongeautoriseerde toegang tot dat systeem te verkrijgen. Een exploitatiekit is een plug-and-play pakket van verschillende technologieën die zijn ontworpen om gebruik te maken van één of meer exploits.

Het Malwarebytes Labs-team heeft gerapporteerd over ten minste vier verschillende exploit kits die worden gebruikt om GandCrab te verspreiden, waarover u kunt lezen:

In februari 2018, een maand nadat GandCrab voor het eerst werd waargenomen, bracht het cybersecuritybedrijf Bitdefender een gratis GandCrab-decryptietool uit. Dit leidde ertoe dat de auteurs van GandCrab een nieuwe versie van hun ransomware uitbrachten met nieuwe encryptietechnologie. Op dit moment werkt de nieuwste versie van de decryptietool op GandCrab-versies 1, 4, 5.01 en 5.2. Tot op heden is er geen gratis decryptietool beschikbaar voor GandCrab-versies 2 en 3.

In oktober 2018 riep een slachtoffer van de Syrische burgeroorlog de makers van GandCrab uit als "harteloos" omdat ze de foto's van zijn dode kinderen hadden versleuteld. In reactie daarop lieten de GandCrab crew de ontsleutelingssleutel vrij voor alle GandCrab-slachtoffers gevonden in Syrië en voegden Syrië toe aan de lijst van landen die niet door de GandCrab ransomware worden getarget.

Zij willen 600 dollar om mij mijn kinderen terug te geven. Dat is wat ze hebben gedaan. Ze hebben mijn jongens van me afgenomen voor wat smerig geld. Hoe kan ik ze 600 dollar betalen als ik nauwelijks genoeg geld heb om mij en mijn vrouw te voeden?
— جميل سليمان (@kvbNDtxL0kmIqRU) Oktober 16, 2018

In januari 2019 werden affiliates voor het eerst gezien met het gebruik van wat bekend staat als een remote desktop protocol (RDP) aanval. Bij dit soort aanval scannen de daders een bepaald netwerk op systemen die zijn geconfigureerd voor externe toegang; dat wil zeggen, een systeem waarop een gebruiker of beheerder kan inloggen en van een andere locatie uit kan besturen. Zodra de aanvallers een systeem vinden dat klaar is voor externe toegang, proberen ze de inloggegevens te raden met een lijst van veelgebruikte gebruikersnamen en wachtwoorden (ook bekend als een brute force of woordenboekaanval).

Tegelijkertijd maakten GandCrab affiliates gebruik van een langdurig, zwaar griepseizoen (21 weken) door de ransomware via phishing e-mails te verspreiden die zogenaamd afkomstig waren van de Centers for Disease Control and Prevention (CDC), met als onderwerp "Grieppandemie-waarschuwing." Het openen van het bijgevoegde, met malware geladen Word-document leidde tot de ransomware-infectie.

Dankzij zijn leger van partners, diverse aanvalsmethoden en regelmatige codewijzigingen werd GandCrab snel de meest voorkomende ransomware-detectie bij zakelijke en consumentendoelwitten voor 2018, zoals gerapporteerd in het Malwarebytes Labs State of Malware rapport.

Ondanks zijn succes, of misschien juist daardoor, stopte GandCrab in mei 2019—een jaar en een half na de lancering. Cyberveiligheidsonderzoekers hebben verschillende theorieën naar voren gebracht waarom.

GandCrab is niet zo succesvol als de makers het hebben weergegeven. We weten eigenlijk niet hoeveel geld de GandCrab crew heeft verdiend. Hun claim van 2 miljard dollar aan inkomsten kan opgeblazen zijn en hier is waarom: Cyberveiligheidsonderzoekers hebben gratis GandCrab-decryptietools ontwikkeld voor eerdere versies van de ransomware. Nauwelijks twee weken na de aankondiging van de GandCrab crew dat ze hun biezen pakten, brachten onderzoekers bij Bitdefender een laatste decryptietool uit die in staat is om de nieuwste versie van GandCrab te decrypten. Met een groter publiek bewustzijn van de gratis decryptietools voorkomen meer en meer potentiële slachtoffers dat ze losgeld betalen.

De GandCrab-groep zal doorgaan met het maken van ransomware of andere malware onder een andere naam. Door te aankondigen dat ze hun activiteiten hebben gestaakt, is de GandCrab-groep vrij om de wereld te bestoken met sluwe nieuwe dreigingen, buiten het opvallende oog van cybersecurity-onderzoekers en wetshandhavers. Zeker, cybersecurity-onderzoekers van Malwarebytes meldden een nieuwe stam van ransomware die een opvallende gelijkenis vertoonde met GandCrab.

Bekend als Sodinokibi (ook bekend als Sodin, aka REvil), werd deze ransomware bijna twee maanden na het stoppen van GandCrab in het wild gespot en onderzoekers trokken meteen vergelijkingen met de gestopte ransomware. Er is nog geen hard bewijs dat de GandCrab crew de slechteriken zijn achter Sodinokibi, maar het is een veilige gok.

Om te beginnen volgt Sodinokibi hetzelfde ransomware-as-a-service model—de GandCrab-crew bezit en ondersteunt de software, waardoor elke aspirant-cybercrimineel deze kan gebruiken in ruil voor een deel van de winst.

Sodinokibi volgt hetzelfde iteratieve updateproces als GandCrab. Tot nu toe zijn er zes versies van Sodinokibi.

Sodinokibi gebruikt enkele van dezelfde infectiemethoden, namelijk exploitatiekits en malware e-mailbijlagen. In een nieuwe wending zijn de criminelen achter Sodinokibi echter begonnen om Managed Service Providers (MSP) te gebruiken om infecties te verspreiden. In augustus 2019 ontdekten honderden tandartspraktijken in het land dat ze geen toegang meer hadden tot hun patiëntenbestanden. Aanvallers gebruikten een gecompromitteerde MSP, in dit geval een medisch registratie softwarebedrijf, om de Sodinokibi ransomware te implementeren in tandartspraktijken die de registratie software gebruiken.

Tot slot vertonen de losgeldbrief en betalingssite van Sodinokibi meer dan een beetje gelijkenis met die van GandCrab.

Hoe bescherm je jezelf tegen GandCrab

Hoewel het Malwarebytes Data Sciences-team meldt dat de detecties van GandCrab sterk afnemen, hebben we nog steeds Sodinokibi en andere typen ransomware om te bestrijden. Dat gezegd hebbende, hier is hoe u uzelf kunt beschermen tegen GandCrab en andere soorten ransomware.

Maak back-ups van uw bestanden. Met regelmatige gegevensback-ups wordt een ransomware-infectie slechts een kleine, zij het vervelende, hinderlijkheid. Gewoon wissen en uw systeem herstellen en verdergaan met uw leven.

Wees op uw hoede voor e-mailbijlagen en links. Als u een e-mail ontvangt van een vriend, familielid of collega en het klinkt vreemd — denk dan twee keer na. Als de e-mail afkomstig is van een bedrijf waarmee u zaken doet, probeer dan naar de bedrijfswebsite te navigeren of, indien beschikbaar, gebruik de app.

Patch en update regelmatig. Door uw systeem up-to-date te houden, voorkomt u dat aanvallers misbruik maken van exploits die kunnen worden gebruikt om ongeautoriseerde toegang tot uw computer te krijgen. Zoals u zich misschien herinnert, zijn exploits de hoofdmethoden waarmee GandCrab doelwit systemen infecteert. Evenzo, als u oude, verouderde software op uw computer hebt die u niet meer gebruikt – verwijder het dan.

Beperk externe toegang. De beste manier om tegen een Remote Desktop Protocol (RDP)-aanval te beschermen is het beperken van externe toegang. Vraag uzelf af, heeft dit systeem echt externe toegang nodig? Als het antwoord ja is, beperk de toegang dan op zijn minst tot de gebruikers die het echt nodig hebben. Beter nog, implementeer een virtuaal privé netwerk (VPN) voor alle externe gebruikers, op deze manier wordt elke mogelijkheid van een RDP-aanval geëlimineerd.

Gebruik sterke wachtwoorden en hergebruik geen wachtwoorden op verschillende sites. Mocht een systeem echt extern toegang nodig hebben, zorg er dan voor dat u een sterk wachtwoord gebruikt met multifactorauthenticatie. Unieke wachtwoorden onthouden voor al de verschillende sites en applicaties die u gebruikt is lastig, zo niet onmogelijk. Gelukkig kan een wachtwoordmanager dat voor u doen.

Gebruik cybersecurity software. Bijvoorbeeld, Malwarebytes Premium voor Windows blokkeert Trojans, virussen, kwaadaardige downloads, slechte links en gescaste websites zodat ransomware, zoals GandCrab, en andere malware-infecties geen kans hebben zich op uw systeem te vestigen.

Hoe verwijder je GandCrab

Als u al slachtoffer bent geworden van GandCrab, is er een goede kans dat u het losgeld niet hoeft te betalen. Volg in plaats daarvan deze stappen om GandCrab van uw pc te verwijderen.

Toon bestandsextensies in Windows. Standaard verbergt Microsoft Windows bestandsextensies (zoals .exe en .doc) en u moet deze extensies zien voordat u door kunt gaan naar stap twee. Open kort gezegd Verkenner, klik op het tabblad Beeld en vink het vakje Bestandsnaamextensies aan.
Bepaal de GandCrab-versie. Nu u bestandsextensies kunt zien, kunt u erachter komen welke versie van GandCrab u heeft door de extensies van uw versleutelde bestanden te verifiëren.

GandCrab versie 1 geeft de .gdcb-extensie.
GandCrab versies 2 en 3 geven de .crab-extensie.
GandCrab versie 4 geeft de .krab-extensie.
GandCrab versie 5 geeft een willekeurige vijfletterige extensie.

Download de decryptor. Zoals eerder vermeld in dit stuk, is er een gratis GandCrab-decryptor voor GandCrab-versies 1, 4, 5.01 en 5.2. Als uw bestandsextensies overeenkomen met deze eerder genoemde versies, zit u goed. Helaas is er geen gratis decryptiehulpmiddel beschikbaar voor GandCrab-versie 2 en versie 3.

Betaal het losgeld niet. Als u bent geïnfecteerd door GandCrab versie 2 of versie 3, bent u misschien geneigd het losgeld te betalen — doe dat niet. In de veronderstelling dat de GandCrab-servers nog operationeel zijn, raden de FBI, Europol en INTERPOL allemaal aan om het losgeld niet te betalen. Er is geen garantie dat u uw bestanden terugkrijgt en op deze manier wordt u gemarkeerd als een gemakkelijk doelwit voor toekomstige ransomware-aanvallen.