Το Allahu Akbar Ransomware είναι πιθανώς μια δοκιμαστική έκδοση

Η παραλλαγή ransomware που είναι γνωστή ως Allahu Akbar εντοπίστηκε από την ερευνητική μας ομάδα κατά τη διάρκεια έρευνας δειγμάτων κακόβουλου λογισμικού που υποβλήθηκαν πρόσφατα. Αυτό το κακόβουλο λογισμικό λειτουργεί κρυπτογραφώντας δεδομένα και στη συνέχεια απαιτώντας πληρωμή με αντάλλαγμα την παροχή του κλειδιού αποκρυπτογράφησης.

Στο περιβάλλον πειραματισμού μας, το ransomware Allahu Akbar πραγματοποίησε την κρυπτογράφηση των αρχείων και τροποποίησε τα ονόματα των αρχείων τους. Συγκεκριμένα, πρόσθεσε μια επέκταση ".allahuakbar" στα αρχικά ονόματα αρχείων. Για παράδειγμα, ένα αρχείο με το όνομα "1.jpg" άλλαξε σε "1.jpg.allahuakbar" και το "2.png" άλλαξε σε "2.png.allahuakbar" και ούτω καθεξής.

Μετά την ολοκλήρωση της διαδικασίας κρυπτογράφησης, δημιουργήθηκε ένα σημείωμα λύτρων με το όνομα "how_to_decrypt.txt". Τα περιεχόμενα αυτής της σημείωσης υποδεικνύουν ότι το ransomware είναι πιθανό να είναι ακόμη υπό ανάπτυξη. Το σημείωμα ενημερώνει το θύμα για την κρυπτογράφηση των αρχείων του και το διαβεβαιώνει ότι οι εισβολείς διαθέτουν τα μέσα για να επαναφέρουν τα κλειδωμένα δεδομένα. Ως επίδειξη της ικανότητάς τους, προσφέρεται στο θύμα η ευκαιρία να δοκιμάσει τη διαδικασία αποκρυπτογράφησης σε τρία αρχεία δωρεάν.

Για να προχωρήσει στην αποκρυπτογράφηση, το θύμα λαμβάνει οδηγίες να πραγματοποιήσει πληρωμή λύτρων χρησιμοποιώντας το κρυπτονόμισμα Bitcoin. Η σημείωση παρέχει οδηγίες για την έναρξη αυτής της πληρωμής, αλλά τα στοιχεία επικοινωνίας που παρέχονται δεν είναι έγκυρα. Αυτό υποδηλώνει ότι το ransomware Allahu Akbar βρίσκεται ακόμη στη διαδικασία ανάπτυξης.

Allahu Akbar Ransom Σημείωση Χρησιμοποιεί στοιχεία επικοινωνίας Placeholder

Το πλήρες κείμενο του λυτρωτικού σημειώματος του Allahu Akbar έχει ως εξής:

Όλα τα αρχεία σας έχουν κρυπτογραφηθεί.

Επειδή δεν σας ενδιαφέρει η ασφάλεια, εμείς, η ομάδα του Allahu Akbar σας βοηθάμε να τα αποθηκεύσετε με ασφάλεια.

Μπορείτε να στείλετε 3 από τα κρυπτογραφημένα αρχεία σας και εμείς τα αποκρυπτογραφούμε δωρεάν.

Πρέπει να ακολουθήσετε αυτά τα βήματα για να αποκρυπτογραφήσετε τα αρχεία σας:
1) Γράψτε στο e-mail μας :test@test.com (Σε περίπτωση που δεν απαντήσετε σε 24 ώρες ελέγξτε τον φάκελο ανεπιθύμητης αλληλογραφίας σας
ή γράψτε μας σε αυτό το e-mail: test2@test.com)

2) Αποκτήστε Bitcoin (Πρέπει να πληρώσετε για αποκρυπτογράφηση σε Bitcoins.
Μετά την πληρωμή θα σας στείλουμε το εργαλείο που θα αποκρυπτογραφήσει όλα τα αρχεία σας.)

Πώς διανέμεται κοινά το Ransomware όπως το Allahu Akbar;

Η διανομή ransomware, συμπεριλαμβανομένων παραλλαγών όπως το "Allahu Akbar", συνήθως περιλαμβάνει διάφορες τακτικές και τεχνικές που εκμεταλλεύονται τρωτά σημεία, ανθρώπινη συμπεριφορά και αδυναμίες ασφάλειας. Ωστόσο, θα ήθελα να διευκρινίσω ότι ο όρος "Allahu Akbar" είναι μια φράση που χρησιμοποιείται στις ισλαμικές προσευχές και δεν έχει απαραίτητα άμεση σύνδεση με τη διανομή ransomware. Είναι σημαντικό να μην κάνετε αδικαιολόγητους συσχετισμούς μεταξύ τεχνικών όρων και πολιτιστικών ή θρησκευτικών φράσεων.

Γενικά, το ransomware διανέμεται συνήθως χρησιμοποιώντας τις ακόλουθες μεθόδους:

• Email ηλεκτρονικού ψαρέματος: Οι επιτιθέμενοι συχνά στέλνουν μηνύματα ηλεκτρονικού ταχυδρομείου που φαίνονται νόμιμα, που περιέχουν κακόβουλα συνημμένα ή συνδέσμους. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου ενδέχεται να υποδύονται γνωστές εταιρείες, τράπεζες ή κυβερνητικούς οργανισμούς, εξαπατώντας τους παραλήπτες να ανοίξουν το συνημμένο ή να κάνουν κλικ στον σύνδεσμο. Μόλις κάνετε κλικ, το ωφέλιμο φορτίο ransomware εκτελείται.
• Κακόβουλοι σύνδεσμοι: Οι εγκληματίες του κυβερνοχώρου ενδέχεται να στέλνουν συνδέσμους μέσω email, μέσων κοινωνικής δικτύωσης ή πλατφορμών ανταλλαγής μηνυμάτων που οδηγούν σε μολυσμένους ιστότοπους ή λήψεις. Αυτοί οι σύνδεσμοι μπορεί να μεταμφιεστούν ως αβλαβείς διευθύνσεις URL, αλλά τελικά παραδίδουν το ransomware στη συσκευή του θύματος.
• Κακόβουλη διαφήμιση: Κακόβουλες διαφημίσεις μπορούν να εισαχθούν σε νόμιμες ιστοσελίδες. Κάνοντας κλικ σε αυτές τις διαφημίσεις μπορεί να οδηγηθούν σε λήψεις χωρίς καθυστέρηση, όπου το ransomware κατεβάζεται σιωπηλά και εκτελείται στο σύστημα του θύματος εν αγνοία του.
• Κιτ εκμετάλλευσης: Πρόκειται για κακόβουλα κιτ εργαλείων που στοχεύουν γνωστά τρωτά σημεία σε εφαρμογές λογισμικού. Εάν το λογισμικό ενός χρήστη δεν είναι ενημερωμένο, η επίσκεψη σε έναν μολυσμένο ιστότοπο μπορεί να οδηγήσει στην αυτόματη λήψη και εγκατάσταση ransomware.
• Επιθέσεις πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP): Οι εισβολείς εκμεταλλεύονται αδύναμα ή παραβιασμένα διαπιστευτήρια RDP για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στο σύστημα του θύματος. Μόλις μπουν μέσα, αναπτύσσουν ransomware.
• Ομαδοποίηση λογισμικού: Ορισμένα ransomware συνοδεύονται από φαινομενικά νόμιμο λογισμικό ή λήψεις. Οι χρήστες που κατεβάζουν και εγκαθιστούν τέτοιο λογισμικό εν αγνοία τους εγκαθιστούν επίσης το ransomware.
• Λήψεις Drive-by: Η απλή επίσκεψη σε έναν παραβιασμένο ιστότοπο μπορεί να προκαλέσει αυτόματη λήψη και εκτέλεση ransomware μέσω τρωτών σημείων στο πρόγραμμα περιήγησης ή στις προσθήκες του χρήστη.
• USB και αφαιρούμενα μέσα: Οι εισβολείς μπορούν να μολύνουν τις μονάδες USB ή άλλα αφαιρούμενα μέσα με ransomware. Όταν το μολυσμένο μέσο συνδέεται σε έναν υπολογιστή, το ransomware εξαπλώνεται.