AI en business nieuws, trends, marketing

LockerGoga-virus: ‘Geavanceerde ransomware zorgt voor een revolutie in cyberaanvallen’

by · Published · Updated

Ransomware

Maandag 25 maart 2019 werd de Noorse aluminiumproducent Norsk Hydro getroffen door een grote cyberaanval. Meerdere malen werd het beruchte LockerGoga-virus genoemd. Niet alleen Norsk Hydro maar ook de chemische bedrijven Hexicon en Momentive werden getroffen. Reden te meer om achter de verschillende varianten van het virus aan te gaan. Niet alleen resulteerde dat onderzoek door Unit 42 dat de naam ‘LockerGoga’ nergens in de coderingen terugkomt en dus in feite niet juist is, ook zagen ze dat het om geavanceerde ransomware gaat die door zeer ervaren cybercriminelen ontwikkeld is. Er zijn meer dan 31 varianten op het oorspronkelijke virus aangetroffen:

 

Bleeping Computer reported that the name came from this source code path discovered by MalwareHunterTeam:

X:\work\Projects\LockerGoga\cl-src-last\cryptopp\src\rijndael_simd.cppfor SHA-256 bdf36127817413f625d2625d3133760af724d6ad2410bea7297ddc116abc268f

We were able to find this string referenced in earlier ransomware variants identified as Ransom.GoGalocker by Symantec, but not in the sample identified in Bleeping Computer’s report. To avoid confusion, we will continue to use the LockerGoga name to refence the initial variant and its predecessors. Palo Alto Networks has identified 31 ransomware samples that are similar in behavior and code to the initial variant. In this report we will attempt to trace back to the origin of these samples, discuss their evolution, then expose some of their inner working capabilities and even faults.

LockerGoga is, volgens de onderzoekers, here to stay. En aangezien ransomware meestal een van de minst geavanceerde vormen van malware is, biijft de vraag dan ook wat de ontwikkelaars drijft. Is er een financieel belang of is er een andere aanleiding? Waarom zouden ontwikkelaars zoveel moeite in hun werk stoppen om bestanden gedeeltelijk te versleutelen?

 

The initial sample was written in the C++ programming language and employs publicly available libraries such as Boost, Cryptopp and regex.  This sample includes a blacklist that excludes the following files and directories from encryption:

  • readme-now.txt
  • files starting with ntsuser or usrclass
  • File extensions: .dll, .lnk, .sys, .locked
  • Microsoft\Windows\burn
  • dat
  • log

Via Unit42.com, Afbeelding boven via: https://unit42.paloaltonetworks.com/born-this-way-origins-of-lockergoga/

redactie

Redactie Nieuws.Marketing; wij bestaan uit digital en online marketeers, communciatieprofs, onderzoekers en tech plus AI-marketing experts.