REvil Ransomware heeft onlangs een update ontvangen waarmee kwaadwillende hackers Windows-wachtwoorden kunnen wijzigen en de bestandscodering van een systeem direct daarna kunnen automatiseren via Veilige modus.
Volgens Bleeping Computer is de update toegevoegd om deze actoren te helpen detectie te ontwijken en back-upsoftware en databaseservers af te sluiten door de bestanden van het doelwit te versleutelen. Om de update verder af te breken, verandert de nieuwe REvil-ransomware naar verluidt het wachtwoord van de gebruiker in “DTrump4ever” wanneer het -smode-argument wordt gebruikt.
Hoe lafhartig deze ransomware ook is, het voordeel van dit alles is dat de getroffen persoon nog steeds handmatig moet inloggen in de veilige modus van Windows voordat versleuteling kan plaatsvinden, en dat zou het slachtoffer alleen maar kunnen waarschuwen voor de acties van de ransomware.
🆕 #REvil v2.05
-smode-schakelaar configureert het besturingssysteem om op te starten in de veilige modus met netwerkmogelijkheden via:
(pre-Vista) bootcfg /raw /a /safeboot: netwerk /id 1
of
(Vista +) bcdedit /set {current} netwerk veilig opstarten
configureer automatisch inloggen via WinLogon 🔑 met het wachtwoord ‘DTrump4ever’
— R3MRUM (@R3MRUM) 26 maart 2021
Het mag natuurlijk geen verrassing zijn dat dit niet de eerste keer is dat REvil in de schijnwerpers staat. Vorige maand eiste het hackerscollectief de verantwoordelijkheid op voor het aanvallen van het Taiwanese technologiemerk Acer en het gegijzeld houden van zijn servers voor een bedrag van 50 miljoen dollar (~206 miljoen RM).
Naast de aanval waarschuwde de groep slachtoffers ook dat ze niet twee keer zouden nadenken voordat ze DDoS-aanvallen op hen zouden lanceren of e-mails naar hun zakenpartners zouden sturen over hun activiteiten. Moeten ze ervoor kiezen om het losgeld niet te betalen?
(Bron: TechRepublic, Bleeping Computer // Afbeelding: Bleeping Computer)
