Orion Hackers Ransomware: otra amenaza de cifrado en el horizonte
Table of Contents
Una cepa peligrosa con orígenes de LockBit 3.0
Orion Hackers Ransomware es un programa de cifrado de datos derivado de LockBit 3.0 (también conocido como LockBit Black). Esta amenaza está diseñada para bloquear los archivos de las víctimas y obligarlas a pagar por su restauración. Una vez que se infiltra en un sistema, Orion Hackers comienza inmediatamente a cifrar los archivos y agrega una cadena aleatoria a los nombres de los archivos, haciéndolos inaccesibles.
Después de cifrar los datos, los atacantes dejan una nota de rescate titulada "[random_string].README.txt" en el escritorio de la víctima. Además, modifican el fondo de pantalla del escritorio para que sirva como recordatorio visual del ataque. El mensaje de rescate indica que se han cifrado los datos y se ha robado la información, y hace hincapié en que, si no se cumple con la exigencia del rescate, se filtrarán los archivos confidenciales.
Amenazas a las víctimas con fugas de datos y ataques repetidos
La nota de rescate va más allá de exigir un pago por el descifrado. Los operadores de Orion Hackers amenazan con exponer los archivos comprometidos si las víctimas se niegan a cumplir. Además, advierten que cualquier intento de modificar o eliminar los datos cifrados podría resultar en una pérdida permanente. Como demostración de sus capacidades, los atacantes ofrecen descifrar un archivo de forma gratuita, intentando hacer creer a las víctimas que pagar el rescate es la única forma de recuperar el acceso a sus datos.
Además, el mensaje de rescate sugiere que, en caso de no pagar, se pueden producir más ciberataques contra la organización atacada. Esto tiene como objetivo crear una sensación de urgencia y miedo, presionando a las víctimas para que tomen una decisión apresurada.
Vea lo que dice la nota de rescate:
Your System Hacked By Orion Hackers!
>>>> Your data are stolen and encrypted
The data will be published on TOR website if you do not pay the ransom
>>>> What guarantees that we will not deceive you?
We are not a politically motivated group and we do not need anything other than your money.
If you pay, we will provide you the programs for decryption and we will delete your data.
Life is too short to be sad. Be not sad, money, it is only paper.
If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future.
Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.
>>>> You need contact us and decrypt one file for free on these tox id =32C12B278912E26E5EAC57AEBB3F4FF16F0E31603C7B9D46AC02E9D993EE14351CEC3AB5945C with your personal DECRYPTION ID
Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.
Sometimes you will need to wait for our answer because we attack many companies.
Links for Tor Browser:
hxxps://utox.org/
hxxps://utox.org/uTox_win64.exe
If you do not get an answer in the chat room for a long time, the site does not work and in any other emergency, you can contact us in jabber or tox.
Tox ID : 6F902E0A889E60D47FB305E2EE4B72926A4A68297F2364285E2CB005DE53B377F76934FF16AB
>>>> Your personal DECRYPTION ID: -
>>>> Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!
>>>> Warning! If you do not pay the ransom we will attack your company repeatedly again!
Pagar el rescate: una apuesta arriesgada
Si bien Orion Hackers promete descifrar los archivos tras el pago, nadie puede garantizar que cumplirá su palabra. Muchos cibercriminales no proporcionan las claves de descifrado ni siquiera después de recibir el pago, por lo que las víctimas se quedan sin dinero ni datos. Además, pagar el rescate solo alimenta futuros ataques al alentar a los piratas informáticos a continuar con sus operaciones.
En la mayoría de los casos, descifrar archivos sin la cooperación de los atacantes es extremadamente difícil. A menos que el ransomware tenga fallas significativas en su algoritmo de cifrado, restaurar los datos sin una copia de seguridad suele ser imposible. Por lo tanto, se insta a las organizaciones y a las personas a mantener copias de seguridad seguras en varias ubicaciones, para asegurarse de que no queden a merced de los operadores del ransomware.
La naturaleza del ransomware: cómo funciona
El ransomware funciona cifrando archivos mediante criptografía simétrica o asimétrica. El cifrado simétrico utiliza una única clave tanto para cifrar como para descifrar, mientras que el cifrado asimétrico implica una clave pública para cifrar y una clave privada para descifrar. Este último método es especialmente eficaz para los ciberdelincuentes, ya que las víctimas no pueden descifrar sus archivos sin acceso a la clave privada, que permanece en manos de los atacantes.
Además, los montos de los rescates pueden variar significativamente según el objetivo. Si bien los usuarios domésticos pueden enfrentar demandas de rescate más bajas, las grandes corporaciones y entidades gubernamentales a menudo reciben solicitudes de pago exorbitantes, que a veces alcanzan seis o incluso siete cifras.
Las tácticas de distribución detrás del ransomware Orion Hackers
Los cibercriminales utilizan ransomware a través de múltiples vectores de ataque, por lo que es fundamental que los usuarios tengan cuidado en línea. Uno de los métodos más comunes es el phishing, en el que los atacantes disfrazan archivos adjuntos o enlaces maliciosos como archivos legítimos en correos electrónicos, mensajes directos o mensajes de texto SMS. Los usuarios desprevenidos que abren estos archivos sin saberlo desencadenan una infección de ransomware.
Los hackers de Orion también pueden propagarse a través de vulnerabilidades de software, descargas no autorizadas y anuncios maliciosos en línea (malvertising). En algunos casos, los atacantes incorporan ransomware en software pirateado, actualizaciones de software falsas o herramientas de activación ilegales, engañando a los usuarios para que instalen la amenaza en sus dispositivos. Algunas cepas de ransomware incluso tienen capacidades de autopropagación, lo que les permite propagarse a través de redes locales y dispositivos de almacenamiento extraíbles.
Fortaleciendo las defensas contra ataques de ransomware
Los usuarios deben adoptar medidas de seguridad proactivas para minimizar el riesgo de una infección de Orion Hackers. Esto incluye evitar correos electrónicos sospechosos, descargas no verificadas y fuentes de software no autorizadas. Además, habilitar la autenticación multifactor (MFA) en las cuentas, mantener el software actualizado y utilizar prácticas de contraseñas seguras pueden ayudar a reducir la vulnerabilidad a los ataques.
Las copias de seguridad periódicas de los datos también son esenciales. Almacenar las copias de seguridad en varias ubicaciones seguras (como discos duros sin conexión o almacenamiento en la nube) garantiza que se puedan recuperar los archivos críticos incluso si se produce un ataque de ransomware. Las organizaciones también deben implementar la segmentación de la red y restringir los permisos de los usuarios para limitar el daño potencial de una infección de ransomware.
En resumen
El ransomware sigue evolucionando y los atacantes perfeccionan sus tácticas para explotar nuevas vulnerabilidades y presionar a las víctimas para que cumplan con las normas. Orion Hackers ejemplifica cómo los cibercriminales combinan el cifrado con el robo de datos para aumentar su influencia sobre las víctimas. Sin embargo, la concienciación y la preparación pueden ayudar a las personas y las empresas a mitigar los riesgos asociados a estos ataques.
En lugar de ceder a las exigencias de rescate, las víctimas deberían centrarse en eliminar el ransomware de sus sistemas y restaurar los archivos a partir de copias de seguridad seguras. Si se mantienen informados y mantienen prácticas sólidas de ciberseguridad, los usuarios pueden protegerse mejor contra la creciente amenaza del ransomware.
