Opgelet, nieuwe Ransomware gericht tegen websites

Sinds de aanval met het Wannacry-virus is er in de media veel aandacht besteed aan Ransomware. Honderdduizenden computers en servers werden gehackt door 1 virus waar niemand een oplossing voor had. Uiteindelijk hebben ze de verspreiding hiervan met geluk kunnen stoppen. Ook TNT had in juni problemen met Ransomware. Omdat de hele server van TNT in België werd platgelegd, konden meer dan 100.000 pakjes niet geleverd worden. Als een groot bedrijf geïnfecteerd wordt door een virus als dit, heeft het dus grote gevolgen. Nu deze Ransomware de ronde niet meer doet, wilt dit niet zeggen dat het voorbij is. Hackers vinden altijd een nieuwe manier om geld te verdienen door de virussen aan te passen. In onze vorige artikels rond online veiligheid kan je meer uitleg vinden over wat Ransomware juist is. (https://flux.be/online-veiligheid/) Gericht tegen websites Wordfence heeft recent een artikel geschreven over een nieuwe Ransomware die zich niet richt op systemen en servers, maar op websites. In dit artikel gaan we deze nieuwe trend beter bekijken zodat jij weet wat je moet doen als je zelf getroffen wordt door dit virus. Op deze screenshot kan je zien hoe de hacker te werk gaat. Als hij de Ransomware op de website uploadt, krijgt hij dit scherm te zien:

Op dit scherm kan de hacker bovenaan een encryptiesleutel invoeren. Met deze sleutel blokkeert hij de bestanden van een website en kan hij deze normaal ook deblokkeren. De sleutel is meestal zo complex dat je deze niet kan achterhalen. Eens de hacker dit heeft ingevoerd, wordt er een mail verzonden naar het adres htaccess12@gmail.com. Zo weet hij welke sleutel er voor welke website gebruikt is. Je bestanden worden dan allemaal verwijderd en vervangen door bestanden die dezelfde naam hebben, maar met de extensie .EV. Dit zijn geëncrypteerde bestanden die je niet meer kan openen. Als je de bestanden terug wilt, moet je volgens de hackers dus betalen om de sleutel te krijgen. Hoe geraken ze binnen? Meestal krijgen ze toegang tot de website via een plug-in die niet up-to-date is. Aangezien er bij de meeste websites meerdere plug-ins aanwezig zijn, zijn er dus ook veel mogelijkheden voor de hackers om binnen te geraken. De ontwikkelaars van de virussen zoeken steeds naar zwakke plekken in een plug-in. Daardoor zijn er vaak verschillende updates per maand die je moet doen. Veel mensen denken dat de updates niet zo belangrijk zijn en dat je het niet steeds moet doen. Om je website veilig te houden is dit dus wel belangrijk. Het is namelijk zo hoe de hackers toegang krijgen en de Ransomware kunnen installeren. Betaal niet! Als je getroffen bent door Ransomware, denk je misschien dat de enige optie betalen is. De politie raadt dit af. Als je betaalt, ben je nog niet zeker dat je de bestanden terug krijgt. Bij deze specifieke Ransomware, krijg je ze zeker niet terug. Dit virus is nog niet compleet waardoor de hackers je bestanden wel kunnen blokkeren, maar niet deblokkeren. Zelfs als ze de sleutel geven, ben je ze kwijt. De enige manier om ze terug vrij te krijgen is met behulp van een PHP-developer die de code van de Ransomware zo aanpast dat ze wel werkt. Dit neemt veel tijd en geld in beslag. De beste manier om hier geen slachtoffer van te worden is door back-ups te maken zodat je de bestanden van je website altijd nog ergens anders hebt. Je moet ook regelmatig je plug-ins updaten zodat er geen zwakke schakels zijn. Wie is verantwoordelijk? Voor deze specifieke Ransomware is er 1 hackersorganisatie verantwoordelijk. Na een lange zoektocht hebben ze ontdekt dat een Indonesische groep dit heeft verspreid. Ze zijn hier achtergekomen door verschillende aanwijzingen. De eerste was door in de broncode te kijken. Hier zagen ze woorden zoals “kecuali”, wat “behalve” betekent in het Indonesisch. Een tweede aanwijzing was dat er een Youtube-filmpje werd geopend als je de pagina van de Ransomware opende. Je kon de video niet zien maar je kon wel muziek horen. Dit bleek afkomstig te zijn van de video ApriliGhost – Defacer Kampungan. Als ze dan ApriliGhost opzochten op Twitter, kwamen ze terecht bij een account die doorverwijst naar een Indonesische Facebookpagina. Dit wilt niet zeggen dat ApriliGhost verantwoordelijk is voor de Ransomware, maar omdat het Indonesisch is, is het vrij waarschijnlijk dat de hackers ook Indonesisch zijn. Nog een derde aanwijzing was dat de Ransomware verbonden is met de website “errorviolence.com”. Als je deze website opzoekt in je browser, word je doorverbonden naar een Indonesisch hackersforum. Het kan dus bijna niet anders dan dat de hackersgroep die achter deze specifieke aanval zit ook uit Indonesië afkomstig is.

Beter voorkomen dan genezen Het is belangrijk dat je samenwerkt met een goede webdeveloper. Zij kunnen snel de juiste bescherming activeren of updaten zodat jouw website geen gevaar loopt. Wij bij Flux Webdesign zorgen er steeds voor dat dit het geval is voor al onze klanten. Sinds er weet is van deze Ransomware, is er dus ook een nieuwe firewall gemaakt om de verspreiding tegen te gaan. Deze firewall detecteert ook of de Ransomware nog niet aanwezig is op een website zodat alles veilig is. Dit wilt niet zeggen dat de hackers geen aanpassingen kunnen doen zodat het voorbij de firewall kan gaan. Beter voorkomen dan genezen, Back ups maken en bewaren op een externe harde schijf of in een cloud storage als Dropbox is dus belangrijk. Als je dit doet, ben je je bestanden nooit kwijt en kan je ze terug opnieuw installeren. Ook de plug-ins updaten naar de nieuwste versies is belangrijk. Als je dit niet doet, kan je de hackers een manier geven om de Ransomware te installeren.

Als je toch niet zeker bent of je website wel genoeg beveiligd is, kijk dit dan zeker na via onze safety scan: https://flux.be/guides/safety-scan/.

Bij vragen, contacteer ons gerust via flux.be of info@flux.be. Het voornaamste deel van deze informatie komt via het bedrijf WordFence. Wij willen hen bedanken om deze zaak zo uitgebreid te onderzoeken en hierover te rapporteren.