Die Bl00dyAdmin-Ransomware droht mit Datenlecks
Bei der Analyse neuer Malware-Beispiele haben wir eine Ransomware-Variante namens Bl00dyAdmin identifiziert. Diese Schadsoftware verschlüsselt Daten und ändert die Namen verschlüsselter Dateien, indem sie die Erweiterung „.CRYPT“ anhängt. Darüber hinaus generiert Bl00dyAdmin eine Datei namens „Read_instructions_To_Decrypt.txt“, die Anweisungen zur Durchführung der Lösegeldzahlung enthält.
Das Dateiumbenennungsmuster von Bl00dyAdmin wird durch die Umwandlung von „1.jpg“ in „1.jpg.CRYPT“, „2.png“ in „2.png.CRYPT“ usw. veranschaulicht. In der Lösegeldforderung wird behauptet, dass alle Dateien auf den Servern und verbundenen Geräten der Organisation verschlüsselt seien, was auf einen möglichen Sicherheitsverstoß oder Netzwerkeinbruch hindeutet. Der Hinweis beschreibt einen Lösungsprozess, der den Erwerb von Entschlüsselungssoftware von den Angreifern beinhaltet. Die Höhe des Lösegelds ist nicht näher spezifiziert, soll aber alle 24 Stunden um 1.000 US-Dollar steigen, was die Notwendigkeit eines schnellen Handelns innerhalb eines Zeitrahmens von 72 Stunden unterstreicht.
Darüber hinaus enthält die Notiz Kontaktinformationen per E-Mail (bl00dyadmin@dnmx.org) und eine Tox-Chat-Anwendung. Es enthält Anweisungen zum Erhalt der Entschlüsselungssoftware sowie ein Demonstrationsangebot zur kostenlosen Entschlüsselung von drei Dateien, um deren Wirksamkeit zu überprüfen. Allerdings werden in dem Vermerk auch eindringliche Warnungen vor schwerwiegenden Konsequenzen bei Nichteinhaltung ausgesprochen, einschließlich der Drohung, gestohlene Daten offenzulegen.
Bl00dyAdmin-Lösegeldschein in voller Länge
Der vollständige Text der Lösegeldforderung Bl00dyAdmin lautet wie folgt:
Hello
We are a team of high-level competent team of Pentesters but NOT a THREAT to your reputable organization
We secure networks of companies to avoid complete destruction and damages to companies
We encrypted all files on Your servers to show sign of breach / network intrusion
To resolve this Continue reading !!!!ALL files oN Your Entire Network Servers and Connected Devices are Encrypted.
Means , Files are modified and are not usable at the moment.
Don't Panic !!!
All Encrypted files can be reversed to original form and become usable .
This is Only Possible if you buy the universal Decryption software from me.
Price for universal Decryption Software : $ Contact us either through email or tox chat app for the ransom price $
You Have 72 hours To Make Payment As Price of Universal Decryption software increases by $1000 dollars every 24 hours.
Contact on this email: bl00dyadmin@dnmx.org
copy email address and write message to bl00dyadmin@dnmx.org
You can write me on tox:
Download tox app from hxxps://tox.chat
Create new Account ..
Send me friend request using my tox id:
E5BBFAD2DB3FB497EA03612B2428F927FD8 A9B3333D524FD51D43B029B7870571CEB0166CB03
copy and paste it as it is
Before You Pay me … I will Decrypt 3 files for free To proof the universal Decryption software works
Failure to Pay Me :
Kindly RESPECT my Rules
Note: Huge amounts of Data / documents has been stolen from your Network servers and will be published online for free
I have stolen All Your Databases ; DAta on your shared drives ; AD users Emails(Good for Spam) ;
i have stolen huge amount of critical data from your serversI keep the breach private only if your cooperate
Wie kann Ransomware Ihr System infizieren?
Ransomware kann ein System auf verschiedene Weise infizieren, und Angreifer nutzen häufig ausgefeilte Taktiken, um Schwachstellen auszunutzen. Hier sind einige gängige Methoden, mit denen Ransomware in ein System eindringen kann:
Phishing-E-Mails: Angreifer nutzen Phishing-E-Mails häufig, um Ransomware zu verbreiten. Diese E-Mails können schädliche Anhänge oder Links enthalten, die beim Anklicken den Download und die Ausführung der Ransomware auslösen. Die E-Mails scheinen legitim zu sein, geben sich oft als seriöse Unternehmen aus und können dringende oder verlockende Nachrichten enthalten, die den Empfänger zum Handeln veranlassen sollen.
Schädliche Websites: Der Besuch kompromittierter oder bösartiger Websites kann ein System der Gefahr von Ransomware aussetzen. Dies kann durch Drive-by-Downloads geschehen oder dadurch, dass Benutzer dazu verleitet werden, auf scheinbar harmlose Inhalte zu klicken, die tatsächlich bösartige Payloads enthalten.
Malvertising: Cyberkriminelle können Online-Werbenetzwerke kompromittieren, um bösartige Werbung zu verbreiten. Benutzer, die auf diese Anzeigen klicken, laden möglicherweise unwissentlich Ransomware auf ihre Systeme herunter. Diese Methode wird als Malvertising bezeichnet.
Ausnutzung von Software-Schwachstellen: Ransomware kann Schwachstellen in Software, Betriebssystemen oder Anwendungen ausnutzen. Cyberkriminelle suchen aktiv nach Sicherheitslücken und nutzen diese aus. Wenn ein System nicht umgehend mit den neuesten Sicherheitspatches aktualisiert wird, wird es anfällig für Ransomware-Angriffe.
RDP-Angriffe (Remote Desktop Protocol): Wenn Remotedesktopdienste falsch konfiguriert oder mit schwachen Anmeldeinformationen gesichert sind, können Angreifer Brute-Force-Angriffe oder andere Methoden anwenden, um sich unbefugten Zugriff zu verschaffen. Sobald sie drin sind, können sie Ransomware auf dem kompromittierten System oder Netzwerk verteilen.
Drive-by-Downloads: Ransomware kann durch Drive-by-Downloads übertragen werden, bei denen Schadcode automatisch heruntergeladen und ausgeführt wird, wenn ein Benutzer eine manipulierte oder bösartige Website besucht, oft ohne Interaktion oder Kenntnis des Benutzers.
Infizierte Software-Installationsprogramme: Cyberkriminelle können legitime Software-Installationsprogramme kompromittieren und Ransomware in sie einschleusen. Benutzer, die diese infizierten Anwendungen unwissentlich herunterladen und installieren, können versehentlich Ransomware auf ihre Systeme einschleusen.
