Wouter Hoeffnagel - 30 januari 2019

Sophos duikt in ransomwarefamilie Matrix

De ransomware Matrix maakt net als gerichte ransomware zoals BitPaymer, Dharma en SamSam hebben de aanvallers endpoints met Matrix geïnfecteerd, op netwerken ingebroken en deze endpoints via Remote Desktop Protocol besmet. In tegenstelling tot andere ransomwarefamilies richt Matrix zich slechts op één apparaat op het netwerk in plaats van zich door een organisatie te verspreiden.

Dit blijkt uit een analyse van beveiligingsbedrijf Sophos van Matrix. SophosLabs heeft ’reverse engineering’ toegepast op technieken die door de aanvallers worden gebruikt en methoden die zijn ingezet om slachtoffers financieel te duperen. De Matrix-criminelen hebben hun aanvalsparameters in de loop der tijd geraffineerd ontwikkeld waarbij nieuwe bestanden en scripts zijn toegevoegd om deze zo op het netwerk in te zetten.

Anonieme instant messaging-dienst

Matrix-ransomwareregels zijn ingebed in de aanvalscode, maar slachtoffers weten niet hoeveel ze moeten betalen voordat ze contact met de aanvallers hebben opgenomen. Bij Matrix gebruiken cybercriminelen een cryptografisch beschermde, anonieme instant messaging-dienst (bitmsg.me) die inmiddels is stopgezet waarbij de ‘criminele auteurs’ zijn teruggekeerd naar het gebruik van normale e-mailaccounts.

De kwaadaardigen achter Matrix vragen naar cryptocurrency als losgeld in de vorm van een equivalent van de dollar.
Het is onduidelijk of de vraag naar losgeld een opzettelijke poging tot misleiding is of slechts een poging om zich tussen fluctuerende wisselkoersen van cryptocurrency te begeven. Op basis van de communicatie die SophosLabs met de aanvallers had, bedroeg het losgeld 2.500 dollar. De aanvallers verlaagden uiteindelijk de losgeldsom toen de onderzoekers geen antwoord meer gaven over de vragen rondom de gestelde eisen.

Swiss Army Knife van de ransomwarewereld

Matrix is ??te vergelijken met het Swiss Army Knife van de ransomwarewereld, met nieuwere varianten die in staat zijn om te scannen en potentiële computerslachtoffers te vinden nadat ze in het netwerk zijn ingebracht. Hoewel volumes klein zijn, maakt dat het niet minder gevaarlijk; Matrix evolueert continu en nieuwere versies verschijnen terwijl aanvallers lessen trekken uit iedere aanval.

Uit het Sophos Threat Report 2019 blijkt dat gerichte ransomware het gedrag van hackers stimuleert en dat organisaties te allen tijde waakzaam moeten blijven. Sophos adviseert de volgende maatregelen:

  • Beperk de toegang tot afstandsbedieningsapplicaties zoals Remote Desktop en Virtual Network Computing;
  • Voltooi kwetsbaarheidsscans en penetratietests over het netwerk; neem het recente testrapport door en houd cybercriminelen buiten;
  • Gebruik multi-factor authenticatie voor gevoelige interne systemen, zelfs voor werknemers op het LAN of VPN;
  • Creëer back-ups, zowel offline als offsite. Ontwikkel een noodherstelplan dat het herstel van data en systemen voor de hele organisaties beslaat.

Meer informatie is te vinden op www.sophos.com/matrix.

Lenovo Channel Campagne vierkant Sophos 14/11/2024 t/m 28/11/2024 BN + BW
Axians 12/11/2024 t/m 26/11/2024 BN+BW

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!