Nieuws

McAfee ontdekt nieuwe ransomware Anatova

Reeds verschillende slachtoffers in Europa

Op 22 Januari heeft McAfee een nieuwe ransomware family ontdekt genaamd 'Anatova' binnen een private peer-to-peer netwerk. McAfee noemt het een 'ernstige dreiging', omdat de code van Anatova geprepareerd is voor een modulaire extensie. Vooralsnog bevinden de meeste slachtoffers van Anatova zich in UK, Nederland, België, Duitsland, Frankrijk en de Verenigde Staten. McAfee heeft de ransomware benoemd naar de bestandsnaam van de ransom note "anatova.txt".

Wat is Anatova?

Anatova is een nieuwe gijzelsoftware die zich reeds over een groot deel van de wereld heeft kunnen verspreiden. Anatova presenteert zich als een te downloaden applicatie of videogame. Zodra de download voltooid is, wordt het systeem besmet en eist Anatova losgeld in de vorm van cryptovaluta DASH. Op het moment van schrijven is dit gelijk aan een waarde van ongeveer 600 euro.

Anatova werd genoemd naar een verborgen bericht, of ransom note. Een ransom note is het tekstbestand dat op verschillende plaatsen op de pc van het slachtoffer wordt achtergelaten. Het bevat de melding dat er moet betaald worden met een specifieke digitale munt om de bestanden weer leesbaar te maken.

Anatova maakt gebruik van sterke beveiligingsmethoden tegen ingebouwde analyse-systemen van firewalls. De Ransomware is door een traditionele antivirus moeilijk te detecteren, omdat elke sample een unieke key gebruikt om de strings te versleutelen, en dat de ransomware uitsluitend standaard Windows API's en C libraries hanteert.

Bescherming met McAfee Endpoint Security en Web Gateway

De schade die Anatova aanricht, is momenteel niet meer dan bij andere ransomware varianten: bestanden op het lokale systeem en op netwerk shares worden versleuteld. Interessant aan Anatova is wel dat het modulair is opgebouwd. In de code zijn aanwijzingen gevonden dat extra modules kunnen toegevoegd worden, met de functionaliteit die de maker op dat moment best uitkomt. Wanneer dit gecombineerd wordt met ingebouwde beveiligingsmethoden vormt dit potentieel zeer geavanceerde malware.

Dit toont wederom het belang aan van een up-to-date Endpoint en perimeter beveiliging. Klanten van onder andere de McAfee Web Gateway en Endpoint Security producten zijn beschermd tegen deze versie van Anatova.

Anatova kan opgespoord worden door volgende indicatoren:

  • Hashes:
    • 2a0da563f5b88c4d630aefbcd212a35e
    • 366770ebfd096b69e5017a3e33577a94
    • 9d844d5480eec1715b18e3f6472618aa
    • 61139db0bbe4937cd1afc0b818049891
    • 596ebe227dcd03863e0a740b6c605924
  • Detectie namen met de vermelding: Ransom-Anatova![partialhash]
  • En samples met enkele MITRE ATT&CK™ technieken, zoals het gebruik van API, het encrypteren en creëren van bestanden, het creëren van mutants en het nummeren van alle processen op de Endpoint om zo enkele te elimineren.

"We zien dit soort Ransomware steeds vaker terugkeren. Denk aan SamSam Ransomware, en nu Anatova. Door die trend wordt de vaardigheid om endpoint detection en response toe te passen van levensbelang. We zien de vraag hiernaar dan ook toenemen, omdat men deze Ransomware als grote dreiging ziet voor de bedrijfskritische IT systemen." - Remco Hobo, Cyber Security expert bij Infradata

Meer weten over Anatova en de gevolgen voor uw netwerkbeveiliging? Neem dan contact op met onze Endpoint experten en wij werken graag voor u vrijblijvend een op maat gemaakte oplossing uit.

25 januari 2019

Pagina delen:

Deze website maakt gebruik van cookies. Door verder te gaan op de site ga je akkoord met ons gebruik van cookies. Lees meer.