Op dit moment is er een email-spamcampagne aan de gang, met als doel het verspreiden van ransomware. De e-mails bevatten de QBot Trojan als bijlage. Deze campagnes resulteren in infecties met de mogelijkheid dat de actor de toegang tot hun slachtoffers doorverkoopt aan ransomware-groeperingen. De spamcampagne maakt gebruik van macro’s in een oud Excel-document die in een zip-bestand wordt afgeleverd. Vaak worden hier als basis email-berichten voor gebruikt die buitgemaakt zijn bij een eerdere aanval, en dus deel lijken van een bestaande conversatie. De macro in het Excel-document executeert op het moment dat de gebruiker macro’s toestaat in het document. Slachtoffers worden verleid tot klikken door het gebruik van logo’s van bekende softwarediensten zoals DocuSign[1] met de begeleidende tekst dat het bestand veilig is versleuteld en pas toegankelijk wordt na het toestaan van macro’s.

Naast een nieuwe email-spamcampagne die gebruik maakt van QBot, ziet het security team sinds deze week een sterke toename in email-spamcampagnes die gebruik maken van Emotet malware, met TrickBot Trojan als bijlage in een Word-document. Ook deze campagne resulteert veelal snel in Ransomware-infecties.

Impact

Een succesvolle besmetting van de QBot of TrickBot malware leidt in veel gevallen tot een ransomware-infectie, vaak met Egregor of DoppelPaymer bij een QBot infectie of Conti en Ryuk voor een TrickBot infectie, maar andere groeperingen zijn ook gesignaleerd in combinatie met deze Trojans.

Risico

PQR schat het risico van deze spam campagne in als hoog.

Advies

  • Gebruikers informeren
    • Extra voorzichtig met zip bijlage
  • Controle of Macro’s disabled zijn: [2]
    • Powershell script [3]
    • Group policy
    • Gebruiker zet macro’s zelf uit
  • Verdachte mails rapporteren als bijlage in plain tekst > soc@pqr.nl
  • Scannen op virussen/malware
  • Safelinks/attachments controleren/aanzetten
  • Windows Registry monitoring om wijzigingen in de gaten te houden

Bronnen

[1] https://isc.sans.edu/forums/diary/Recent+Qakbot+Qbot+activity/26862/

[2] https://support.microsoft.com/nl-nl/office/macro-s-in-office-bestanden-in-of-uitschakelen-12b036fd-d140-4e74-b45e-16fed1a7e5c6

[3] https://answers.microsoft.com/en-us/msoffice/forum/all/security-macro-settings-how-to-change-it-with/938310c1-8cec-40c2-ab3e-01228e60f435

Vragen of hulp nodig?

Mocht u over de bovenstaande Ransomware aanvallen vragen hebben of heeft u hier hulp bij nodig, neem dan contact op met PQR.

Geplaatst door

Berry Rijnbeek

Lead consultant security competence team, Security Officer