Thiefquest Mac Ransomware en decodering

Thiefquest is de naam van een soort ransomware die de ronde deed in 2020. Aanvankelijk werd aangenomen dat de malware ransomware was, omdat het een waarschuwingsbericht zou weergeven en een losgeldbriefje zou laten vallen. Bij nadere analyse bleek echter dat de malware niet bepaald een ransomware is, maar eerder een wisser.

Hoewel Thiefquest een waarschuwingsbericht zou weergeven op zowel Windows- als Mac-systemen en een losgeldbrief met de naam READ_ME_NOW.txt op het bureaublad zou laten vallen, en er een bitcoin-portemonnee-string in de losgeldbrief zou staan, onthulden beveiligingsonderzoekers dat dit geld meer leek op een donatie aan de slechte actoren die de malware gebruiken.

Uit analyse bleek dat Thiefquest geen goede infrastructuur en solide identificatiegegevens had, die het zou kunnen gebruiken om ooit te identificeren welk slachtoffer de betaling heeft gedaan.

Onderzoekers zijn van mening dat het losgeldbriefje meer als een rookgordijn werkt, om het echte doel van de malware te maskeren: gegevensonderschepping en diefstal.

Voor MacOS-systemen wordt de Thiefquest gedistribueerd in nep-malware-beladen app-installatieprogramma's, die zich voordoen als populaire apps zoals Ableton Live en Mixed In Key - merkwaardig genoeg zijn beide applicaties gericht op mensen die in muziekproductie werken.

Eenmaal geïmplementeerd op de computer van het slachtoffer, begon Thiefquest met het versleutelen van bestanden en gaf het uiteindelijk een pop-upvenster weer met zijn bericht en de naam van het losgeldbriefje, evenals de eis tot betaling van $ 50 dollar.

In het huidige malwarelandschap, waar bedreigingsactoren zich richten op bedrijven en entiteiten van meerdere miljoenen dollars, lijkt losgeld van $ 50 belachelijk, maar ransomware zoals Thiefquest is geen gerichte aanvalstool. Terwijl de meeste moderne ransomware-operators hun doelwitten zorgvuldig onderzoeken en precisie-aanvallen uitvoeren, wordt ransomware zoals Thiefquest verspreid via kwaadaardige spamcampagnes of kwaadaardige downloads die online worden gehost.

Aanvullend onderzoek toonde aan dat de code van Thiefquest geen oproepen naar zijn decoderingsroutine bevat, dus er is vrijwel geen manier om gecodeerde bestanden te herstellen door geld naar de ransomware-operators te sturen.

Een merkwaardig kenmerk van Thiefquest is dat het daadwerkelijk uitvoerbare bestanden opzoekt en er kwaadaardige code aan toevoegt, waardoor het een virusachtig gedrag krijgt en het een van de weinige virusachtige malware-stammen is die MacOS-systemen aantasten.

Voor Mac-gebruikers is er een gratis decoderingstool voor Thiefquest die online wordt gepubliceerd. De tool is ontwikkeld door cyberbeveiligingsbedrijf SentinelOne en was gebaseerd op het vinden van een decoderingsfunctie in de code van de malware. U kunt de tool gratis online downloaden en gebruiken om een systeem te decoderen dat is aangetast door de Thiefquest-malware.