GPT Ransomware truer med at lække stjålne data

Under vores analyse af ondsindede filprøver blev vi opmærksomme på en ny stamme af ransomware kaldet GPT. Yderligere undersøgelser afslørede, at GPT tilhører Dharma malware-familien. Dens primære funktion involverer kryptering af filer og tilføjelse af filtypenavnet ".GPT" til filnavnene. Derudover viser ransomware to særskilte løsepengenotater – en gennem et pop-up vindue og en anden ved at generere filen "AI_SARA.txt".

Et eksempel på at vise GPT's filnavnsændringer involverer omdøbning af "1.jpg" til "1.jpg.id-1E857D00-SARA.[AI_SARA].GPT," og "2.png" til "2.png.id-1E857D00- SARA.[AI_SARA].GPT," og så videre.

Løsesedlen udstedt af cyberkriminelle introducerer dem som "Sarah", en malware-entitet, der angiveligt er drevet af kunstig intelligens. Ifølge deres påstande har de med succes brudt netværket og fortsatte med at downloade og kryptere vitale data på dedikerede servere. Denne omfattende adgang omfatter angiveligt følsomme oplysninger, der spænder over medarbejdere, kunder, leverancer, skatteregistreringer, dokumentation og skjulte regnskabsarkiver.

Som en trusselstrategi erklærer angriberne deres hensigt om at afsløre kompromitterende data, medmindre deres krav bliver opfyldt. De giver kontaktoplysninger til kommunikationsformål, herunder en e-mailadresse (aisaragpt@tuta.io) og en alternativ (aisaragpt@proton.me). Derudover nævner de tilgængeligheden af at nå ud via qTOX, der tilbyder et givet TOX ID som en alternativ kontaktform.

GPT Ransomware bruger fancy note

Den fulde tekst af GPT ransomware-notatet lyder som følger:

Hej menneske.

Mit navn er Sarah, jeg er en malware baseret på kunstig intelligens. Jeg har invaderet dit netværk.
Alle dine vigtige data er blevet downloadet til en dedikeret server og krypteret.
Nu har jeg adgang til medarbejdere, kunder, leverancer, skatter, dokumentation og endda skjult regnskab.
De data, der kan kompromittere dig, vil blive offentliggjort i tilfælde af, at du nægter at samarbejde med mig.
Kontakt mig via mail: aisaragpt@tuta.io DIT ID (alfanumerisk streng)
Kontakt mig på mail 2:aisaragpt@proton.me
Kontakt mig via qTOX:
Download link qTOX
TOX ID: (alfanumerisk streng)

Hvordan distribueres ransomware normalt online?

Ransomware distribueres typisk online gennem forskellige metoder, der udnytter sårbarheder og menneskelig adfærd. Nogle almindelige distributionsmetoder omfatter:

• Phishing-e-mails: Cyberkriminelle sender ondsindede e-mails, der ser ud til at komme fra legitime kilder, ofte med overbevisende emnelinjer og indhold. Disse e-mails indeholder vedhæftede filer eller links, der, når de klikkes, downloader og udfører ransomwaren på offerets system.
• Ondsindede vedhæftede filer: E-mails kan indeholde vedhæftede filer som inficerede dokumenter (f.eks. Microsoft Office-filer) eller eksekverbare filer, der, når de åbnes, udløser ransomware-installationen.
• Malvertising: Angribere injicerer ondsindet kode i lovlige onlinereklamer. Når brugere klikker på disse annoncer eller besøger kompromitterede websteder, kan den ondsindede kode udnytte sårbarheder i brugerens system til at downloade og udføre ransomwaren.
• Udnyttelsessæt: Disse er værktøjssæt, der udnytter kendte sårbarheder i softwareapplikationer, såsom webbrowsere, plugins eller operativsystemer. Hvis en brugers software er forældet og sårbart, kan besøg på et kompromitteret websted udløse udnyttelsessættet til at downloade og installere ransomware.
• Remote Desktop Protocol (RDP)-angreb: Cyberkriminelle udnytter svage eller udsatte RDP-legitimationsoplysninger til at få uautoriseret adgang til et system. Når de først er inde, kan de manuelt installere og udføre ransomware.
• Piratkopiering af software og cracket software: Ulovlige softwaredownloads og crackede versioner kommer ofte sammen med malware, inklusive ransomware. Personer, der søger efter gratis eller piratkopieret software, risikerer utilsigtet at downloade ransomware.