Nep email Wehkamp leidt naar Ransomware

Nep email Wehkamp leidt naar Ransomware

DearBytesAlertsNep email Wehkamp leidt naar Ransomware

Wij hebben meerdere signalen waargenomen dat nep e-mails de ronde doen, ogenschijnlijk afkomstig van Wehkamp. Aan de e-mails is een attachment gehecht die (via een dropper) leidt tot de installatie van een ransomware variant genaamd “CTB-Locker“.

Voorbeeld email Wehkamp ransomware

Ransomware Wehkamp

Indicators of Attack (IoAs)

De Wehkamp ransomware wordt momenteel onderzocht door onze analisten. Voorlopig kunnen wij de volgende indicatoren noemen:

Indicators of Compromise (IoCs)

Als de email onverhoopt toch in het Postvak In van een medewerker belandt, bent u afhankelijk van diens bewustzijn. Informeer hen dus over de dreiging zodat erger kan worden voorkomen.

ctb-locker wehkampWanneer een gebruiker zich toch laat verleiden om het attachment te openen, zal dit in stapjes leiden tot installatie van de ransomware, versleuteling van bestanden, waarna tenslotte de kenmerkende popup van CTB-Locker verschijnt.

Maar die uiteindelijke encryptie van bestanden kan voorkomen worden door de stappen te dwarsbomen. Daarvoor kunnen de volgende indicatoren worden gebruikt.

Zie ook de analyse van een sample op https://malwr.com/analysis/…/

Netwerk

De eerste netwerkverbinding gaat naar ip.telize.com dit is om het externe IP adres van het slachtoffer te achterhalen (geen malicious domein).

Wij hebben de malware via TOR verbinding zien maken met de volgende hosts:

  • zsn5qtrgfpu4tmpg.onion.cab
  • zsn5qtrgfpu4tmpg.tor2web.blutmagie.de
  • zsn5qtrgfpu4tmpg.tor2web.fi
  • zsn5qtrgfpu4tmpg.tor2web.org

Deze DNS-namen vertalen zich naar IP-adressen, aangevuld met een aantal andere IP-adressen waarnaar de malware connectie probeert te leggen:

  • 46.19.37.108 (ip.telize.com)
  • 128.31.0.39
  • 154.35.32.5
  • 188.138.122.22
  • 192.251.226.206
  • 194.150.168.70
  • 38.229.70.4
  • 46.19.37.108
  • 76.73.17.194
  • 82.130.26.27

File

De volgende bestanden worden door de malware gedropt. De bestandsnamen kunnen per geval afwijken.

  • qqtcdbc.job
    • FILE SIZE: 238 bytes
    • FILE TYPE: locale data table
    • MD5: 0e0563b2a6775c9b70cbb9228b3bfeb3
    • SHA1: f89494e9cef0ebcc5a2d3cabef4c818652df58b0
    • SHA256: e3f29f938f8089776b725a4eb1e4eca0629c90237088fdb28bd2f5e841757ee4
  • bheuokh.exe
    • FILE SIZE: 1404928 bytes
    • FILE TYPE: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
    • MD5: f5c4d89c8f153be739638be5d67ca538
    • SHA1: 954762136f886d0bc8a74d00b55fde6d84837407
    • SHA256: f6f143b0aec997ef802ee9a559811fae2c0a031c2ff73627bda4ef5d698a00c6

Advies

McAfeeLabs heeft de volgende EXTRA.DAT beschikbaar gesteld om detectie van deze variant mogelijk te maken: 2015-03-24 EXTRA_DAT Wehkamp Ransomware. Instructies voor het toepassen van EXTRA.DATs vindt u hier:

Wij adviseren tevens soortgelijke e-mails op te sporen en te verwijderen uit de postvakken van uw medewerkers.

Indien u getroffen bent door de Wehkamp ransomware en hulp nodig heeft, neem dan contact met onze incident response dienst op via onderstaand telefoonnummer.

Voor algemene adviezen over hoe te handelen in geval van CTB-Locker, verwijzen wij naar ons eerdere artikel daarover: CTB-Locker actief in Nederland.

Meer informatie

Naarmate het onderzoek vordert zullen wij eventuele nieuwe bevindingen toevoegen aan deze post.