NullBulge Ransomware: Målretter AI- og spilsektorer
Table of Contents
Forstå NullBulge Ransomware
NullBulge er en type ransomware, der er dukket op som en betydelig trussel, især rettet mod kunstig intelligens og spilenheder. Denne ondsindede software er baseret på LockBit , en berygtet ransomware-stamme kendt for sin effektivitet og ødelæggende virkning. Som andre løsepenge infiltrerer NullBulge systemer, krypterer filer og kræver løsesum for deres dekryptering. Det, der adskiller NullBulge, er dens specifikke målretning mod AI og spilsektorer, der udnytter afhængighederne på platforme som GitHub og Hugging Face.
Når NullBulge inficerer et system, tilføjer det en tilfældig udvidelse til filnavne, hvilket gør det tydeligt, hvilke filer der er kompromitteret. For eksempel kan en fil med navnet "picture.png" blive omdøbt til "picture.png.7V7uPExzv." Denne tilfældige forlængelse vil sandsynligvis variere på tværs af forskellige infektioner. Ud over at omdøbe filer, ændrer NullBulge skrivebordsbaggrunden og slipper en løsesum med titlen "[udvidelse].README.txt."
Løsepengeseddel og krav
Løsesedlen efterladt af NullBulge Ransomware er ligetil, men alligevel truende. Den informerer ofrene om, at deres data er krypteret og kun kan gendannes ved at betale angriberne i Monero (XMR) cryptocurrency. Notatet understreger, at de cyberkriminelle udelukkende er interesseret i pengegevinst, ikke politisk indflydelse. For at bevare deres omdømme lover de at levere dekrypteringsværktøjer, efter at løsesummen er betalt. Notatet instruerer også ofre om at kontakte angriberne via TOR for at få en gratis fildekrypteringsprøve og advarer mod at slette eller ændre filer, da dette kan hindre gendannelse.
Dette fokus på omdømme er et strategisk træk fra angriberne for at opbygge tillid, om end under tvang. Ved at give en gratis dekrypteringsprøve sigter de efter at vise ofrene, at de faktisk kan dekryptere filerne, hvilket gør ofrene mere tilbøjelige til at betale løsesummen.
Her er den fulde tekst af løsesumsedlen:
NULLBULGE LOCK - BASED ON LOCKBIT
Your data is encrypted… but dont freak out
If we encrypted you, you majorly f***ed up. But… all can be saved
But not for free, we require an xmr payment
What guarantees that we will not deceive you?We are not a politically motivated group and we do not need anything other than your money.
If you pay, we will provide you the programs for decryption.
Life is too short to be sad. Dont be sad money is only paper. Your files are more important than paper right?If we do not give you decrypter then nobody will pay us in the future.
To us, our reputation is very important. There is no dissatisfied victim after payment.You may contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID
Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.
Sometimes you will need to wait a whileLinks for Tor Browser:
hxxp://nullblgtk7dwzpfklgktzll27ovvnj7pvqkoprmhubnnb32qcbmcpgid.onion/Link for the normal browser
hxxp://group.goocasino.org
hxxps://nullbulge.comYour personal DECRYPTION ID: 217B9D5D58C4AD3C58695ABBA6C6AA0B
Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!
Modus Operandi af NullBulge
NullBulges leveringsmekanisme involverer udnyttelse af offentligt tilgængelige arkiver på platforme som GitHub og Hugging Face. Ofre importerer ofte ubevidst ondsindede biblioteker, hvilket fører til infektionen. Trusselsaktørerne bag NullBulge bruger værktøjer som Async RAT og XWorm til at levere ransomware-nyttelasterne. Disse værktøjer gør det muligt for dem at få fjernadgang og kontrol over ofrets systemer, hvilket letter krypteringsprocessen.
Interessant nok hævder de cyberkriminelle bag NullBulge at være hacktivister. De hævder, at deres angreb er en form for protest mod AI, med det formål at beskytte kunstnere og skabere. Denne fortælling ændrer dog ikke på det faktum, at deres primære motiv er økonomisk gevinst, som det fremgår af deres krav om løsesum for kryptovaluta.
Bemærkelsesværdige hændelser og påvirkning
For nylig fik NullBulge betydelig opmærksomhed ved at lække Disneys Slack-data og aktiver fra DuckTales-serien. Dette højprofilerede brud understreger ransomwares evne til at målrette mod større organisationer og forstyrre deres operationer. Derudover er angriberne aktive på underjordiske fora og sælger stjålne data og OpenAI API-nøgler. Disse aktiviteter indikerer en bredere strategi til at tjene penge på deres cyberkriminelle indsats ud over blot løsepengebetalinger.
Virkningen af NullBulge og lignende ransomware-angreb kan være ødelæggende. Ofre står ofte over for betydelig nedetid, tab af data og skader på omdømmet. Nødvendigheden af at betale løsesum skyldes vanskeligheden ved at dekryptere filer uden angribernes værktøjer, medmindre et tredjeparts dekrypteringsværktøj er tilgængeligt. Dette understreger vigtigheden af forebyggende foranstaltninger og effektive indsatsstrategier.
Det bredere ransomware-landskab
Ransomware forbliver et populært værktøj blandt cyberkriminelle for dets potentiale til at generere betydelige overskud. Varianter som Ursq , Qual og NordCrypters eksemplificerer ransomware-truslers mangfoldige og udviklende karakter. Disse ondsindede programmer krypterer typisk ofres data og kræver betaling for dekryptering. Ofre med pålidelige data backups kan ofte gendanne deres filer uden at overholde angribernes krav. Derfor er regelmæssige sikkerhedskopier af data, der er gemt på fjernservere eller offline-enheder, afgørende.
Forebyggelse af Ransomware-angreb
NullBulge Ransomwares primære mål inkluderer fællesskaber med fokus på AI-applikationer og spil. Ransomwaren spreder sig gennem kompromitterede softwareforsyningskæder og udnytter softwaresårbarheder, ondsindede e-mails, inficerede USB-drev og andre vektorer. For at beskytte mod sådanne angreb er det vigtigt kun at downloade software fra officielle kilder, undgå piratkopieret software og være forsigtig med vedhæftede filer og links fra ukendte afsendere.
Derudover kan opretholdelse af robuste cybersikkerhedspraksis, såsom brug af opdateret antivirussoftware, implementering af firewalls og uddannelse af medarbejdere om phishing-angreb, reducere risikoen for infektion betydeligt. Cyberhygiejnepraksis, herunder regelmæssige softwareopdateringer og overvågning af netværkstrafik for usædvanlig aktivitet, er afgørende for at forsvare sig mod ransomware.
Derfor eksemplificerer NullBulge ransomware det vedvarende og udviklende trussellandskab, som moderne organisationer står over for, især dem i AI- og spilsektoren. Ved at forstå dens taktik og vedtage proaktive cybersikkerhedsforanstaltninger kan virksomheder bedre beskytte sig mod denne og lignende trusler.
