Sliedrecht • 16-05-2017

In navolging van de global WannaCry uitbraak van afgelopen weekend lijkt het nu de beurt aan Jaff ransomware. Vandaag hebben wij een ongoing attack gedetecteerd in de vorm van een email campagne met malicious attachment. Omdat een gewaarschuwd mens voor twee telt, delen wij graag de details, zodat u weet waarop te letten (en waar mogelijkheden liggen besmetting te voorkomen):

Wij zagen een email binnenkomen met de subject: “Emailing: 5496336.pdf” vanaf een intern mailadres (meerdere emails later bleek overigens dat de cijferreeks kan variëren). De attachment zelf had de filename “5496336.pdf.pdf” met daarin Jaff ransomware. Door gebruik te maken van een fake intern mailadres wordt de ontvanger sneller getriggerd om de bijlage te openen, het lijkt immers van een collega afkomstig.

jaff ransomware
Screenshot van de betreffende email + attachment

Bij het openen van de attachment leek er een legitieme pdf te worden gepresenteerd, echter werd er vrijwel direct een .docm file, dat verstopt zat in de pdf, gestart in Word. Na het enablen van macro’s werd er malicious payload gedownload van een van de volgende geïnfecteerde websites (middels “xyz” zijn de URL’s geanonimiseerd):

xyzadent[.]de/Nbiyure3
xyzdytrend[.]com/Nbiyure3
xyzrrossoidffr6644qa[.]top/af/Nbiyure3
xyzffonrvcik45bd[.]info/af/Nbiyure3

De ransomware versleutelt vervolgens bestanden en eist losgeld (ransom) om de bestanden weer vrij te geven. Naast het versleutelen van bestanden wordt er een script gestart om een AD-lookup te doen om zo nieuwe potentiële slachtoffers te vinden waarna een soortgelijk email kan worden verzonden.

Op het moment van deze uitbraak kenmerkte geen enkele (traditionele) AV-vendor deze attachment als zijnde malicious, wat dus zou hebben geleid tot een wijd verspreide infectie. In onze test met CylancePROTECT wisten we de sample met zowel Script Control (Macro’s) als Execution Control (PE) te blokkeren.

CylancePROTECT is een zogenaamde Next Generation Endpoint Security oplossing welke wij als SecureLink in het point solution portfolio hebben opgenomen, aangezien deze oplossing in staat is op basis van een revolutionaire aanpak besmetting met malware te voorkomen.