Το GPT Ransomware απειλεί με διαρροή κλεμμένων δεδομένων

Κατά την ανάλυσή μας σε δείγματα κακόβουλων αρχείων, ήρθε στην αντίληψή μας ένα νέο στέλεχος ransomware που ονομάζεται GPT. Περαιτέρω έρευνα αποκάλυψε ότι το GPT ανήκει στην οικογένεια κακόβουλου λογισμικού Dharma. Η κύρια λειτουργία του περιλαμβάνει την κρυπτογράφηση αρχείων και την προσθήκη της επέκτασης ".GPT" στα ονόματα αρχείων. Επιπλέον, το ransomware εμφανίζει δύο ξεχωριστές σημειώσεις λύτρων—μία μέσω ενός αναδυόμενου παραθύρου και μία άλλη δημιουργώντας το αρχείο "AI_SARA.txt".

Μια τέτοια περίπτωση που παρουσιάζει τις αλλαγές ονόματος αρχείου του GPT περιλαμβάνει τη μετονομασία του "1.jpg" σε "1.jpg.id-1E857D00-SARA.[AI_SARA].GPT" και του "2.png" σε "2.png.id-1E857D00- SARA.[AI_SARA].GPT" και ούτω καθεξής.

Το σημείωμα λύτρων που εκδόθηκε από τους εγκληματίες του κυβερνοχώρου τους παρουσιάζει ως «Sarah», μια οντότητα κακόβουλου λογισμικού που υποτίθεται ότι τροφοδοτείται από τεχνητή νοημοσύνη. Σύμφωνα με τους ισχυρισμούς τους, παραβίασαν επιτυχώς το δίκτυο και προχώρησαν σε λήψη και κρυπτογράφηση ζωτικών δεδομένων σε αποκλειστικούς διακομιστές. Αυτή η συνολική πρόσβαση φέρεται να περιλαμβάνει ευαίσθητες πληροφορίες που καλύπτουν υπαλλήλους, πελάτες, παραδόσεις, φορολογικά αρχεία, τεκμηρίωση και κρυφά λογιστικά αρχεία.

Ως στρατηγική απειλής, οι επιτιθέμενοι δηλώνουν την πρόθεσή τους να εκθέσουν διακυβευτικά δεδομένα εκτός εάν ικανοποιηθούν τα αιτήματά τους. Παρέχουν στοιχεία επικοινωνίας για λόγους επικοινωνίας, συμπεριλαμβανομένης μιας διεύθυνσης ηλεκτρονικού ταχυδρομείου (aisaragpt@tuta.io) και μιας εναλλακτικής (aisaragpt@proton.me). Επιπλέον, αναφέρουν τη διαθεσιμότητα επικοινωνίας μέσω qTOX, προσφέροντας ένα παρεχόμενο αναγνωριστικό TOX ως εναλλακτικό μέσο επικοινωνίας.

Το GPT Ransomware χρησιμοποιεί φανταχτερή σημείωση

Το πλήρες κείμενο της σημείωσης ransomware GPT έχει ως εξής:

Γεια σου άνθρωπε.

Με λένε Sarah, είμαι κακόβουλο λογισμικό που βασίζεται στην τεχνητή νοημοσύνη. Έχω εισβάλει στο δίκτυό σας.
Όλα τα σημαντικά δεδομένα σας έχουν ληφθεί σε αποκλειστικούς διακομιστές και έχουν κρυπτογραφηθεί.
Τώρα έχω πρόσβαση στους υπαλλήλους, τους πελάτες, τις παραδόσεις, τους φόρους, τα έγγραφα και ακόμη και την κρυφή λογιστική.
Τα δεδομένα που μπορεί να σας θέσουν σε κίνδυνο, θα δημοσιευθούν σε περίπτωση που αρνηθείτε να συνεργαστείτε μαζί μου.
Επικοινωνήστε μαζί μου μέσω email: aisaragpt@tuta.io Η ΤΑΥΤΟΤΗΤΑ ΣΑΣ (αλφαριθμητική συμβολοσειρά)
Επικοινωνήστε μαζί μου μέσω ταχυδρομείου 2:aisaragpt@proton.me
Επικοινωνήστε μαζί μου μέσω qTOX:
Σύνδεσμος λήψης qTOX
TOX ID: (αλφαριθμητική συμβολοσειρά)

Πώς διανέμεται συνήθως το Ransomware στο Διαδίκτυο;

Το ransomware συνήθως διανέμεται στο διαδίκτυο μέσω διαφόρων μεθόδων που εκμεταλλεύονται τρωτά σημεία και ανθρώπινες συμπεριφορές. Μερικές κοινές μέθοδοι διανομής περιλαμβάνουν:

• Email ηλεκτρονικού ψαρέματος: Οι εγκληματίες του κυβερνοχώρου στέλνουν κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου που φαίνεται να προέρχονται από νόμιμες πηγές, συχνά με πειστικά θέματα και περιεχόμενο. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου περιέχουν συνημμένα ή συνδέσμους στους οποίους, όταν κάνετε κλικ, πραγματοποιούν λήψη και εκτέλεση του ransomware στο σύστημα του θύματος.
• Κακόβουλα συνημμένα: Τα μηνύματα ηλεκτρονικού ταχυδρομείου μπορεί να περιλαμβάνουν συνημμένα όπως μολυσμένα έγγραφα (π.χ. αρχεία του Microsoft Office) ή εκτελέσιμα αρχεία που, όταν ανοίξουν, ενεργοποιούν την εγκατάσταση ransomware.
• Κακόβουλη διαφήμιση: Οι εισβολείς εισάγουν κακόβουλο κώδικα σε νόμιμες διαδικτυακές διαφημίσεις. Όταν οι χρήστες κάνουν κλικ σε αυτές τις διαφημίσεις ή επισκέπτονται παραβιασμένους ιστότοπους, ο κακόβουλος κώδικας μπορεί να εκμεταλλευτεί ευπάθειες στο σύστημα του χρήστη για να πραγματοποιήσει λήψη και εκτέλεση του ransomware.
• Κιτ εκμετάλλευσης: Πρόκειται για κιτ εργαλείων που αξιοποιούν γνωστά τρωτά σημεία σε εφαρμογές λογισμικού, όπως προγράμματα περιήγησης ιστού, πρόσθετα ή λειτουργικά συστήματα. Εάν το λογισμικό ενός χρήστη είναι ξεπερασμένο και ευάλωτο, η επίσκεψη σε έναν παραβιασμένο ιστότοπο μπορεί να ενεργοποιήσει το κιτ εκμετάλλευσης για λήψη και εγκατάσταση ransomware.
• Επιθέσεις πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP): Οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται αδύναμα ή εκτεθειμένα διαπιστευτήρια RDP για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε ένα σύστημα. Μόλις μπουν μέσα, μπορούν να εγκαταστήσουν και να εκτελέσουν χειροκίνητα ransomware.
• Πειρατεία λογισμικού και σπασμένο λογισμικό: Οι παράνομες λήψεις λογισμικού και οι σπασμένες εκδόσεις συχνά συνοδεύονται από κακόβουλο λογισμικό, συμπεριλαμβανομένου ransomware. Άτομα που αναζητούν δωρεάν ή πειρατικό λογισμικό κινδυνεύουν να κατεβάσουν ακούσια ransomware.