De cybercriminelengroep GOLD LOWELL was al langer in het vizier van beveiligers en onderzoekers. De groep perst geld van slachtoffers af door netwerken te infiltreren en op maat gemaakte SamSamCrypt ransomware te installeren. Sinds vandaag is er meer bekend over hun werkwijze.
CTU-onderzoekers en IR-analisten onderzochten meerdere GOLD LOWELL ransomware-campagnes en wisten de tactieken en het gedrag van de groep te achterhalen. De resultaten zijn samengevat in een whitepaper.
Decoderingskosten
De groep maakt bijvoorbeeld misbruik van de bereidheid van de slachtoffers om te betalen. Deze decoderingskosten worden bijvoorbeeld meteen verhoogd, zodra een slachtoffer het initiële losgeld in Bitcoin hbetaalt.
GOLD LOWELL heeft het vooral gemunt op internationaal bekende organisaties in diverse sectoren. De groep bereidt zijn aanvallen goed voor met op maat gemaakte ransomware. Een aantal Amerikaanse gemeentebesturen en ziekenhuizen is op deze manier al slachtoffer geworden. Of er Europese slachtoffers zijn is nog niet bekend.
Aanvankelijk viel de groep alleen gezondheidszorgorganisaties aan. Inmiddels is dit uitgebreid. Tot nu toe zijn er aanvallen gedetecteerd op bijvoorbeeld afvalverwerkers, hogescholen en transportbedrijven.
Op zoek
GOLD LOWELL gaat in eerste instantie op zoek naar kwetsbare systemen en protocollen in een organisatie. Vervolgens verschaffen ze zich via die kwetsbaarheden toegang tot het systeem van de zwakste gebruiker. Via algemeen verkrijgbare tools als Mimikatz maken ze gebruikersnamen en wachtwoorden buit. De op maat gemaakte scrips worden vervolgens ingezet om zowel de netwerken in de gaten te houden als Samsam te installeren. Dat laatste gebeurt op zoveel mogelijk verschillende systemen en plaatsen in de organisatie tegelijk.
Wat GOLD LOWELL vooral anders maakt is dat men rechtstreeks en live gebruikmaakt van de toetsenbordactiviteit van de slachtoffers.
Verhogen
Zodra het slachtoffer het bedrag voldoet wordt deze meteen geconfronteerd met extra decoderingskosten. Dit bedrag loopt op tot 0,7 bitcoins. Dat komt neer op rond de $9,700 per gehackt systeem of 3 bitcoins ($41,700) fom het hele systeem weer te ontgrendelen.
