AttackFiles Ransomware pertenece a la familia MedusaLocker

Durante nuestro examen de archivos nuevos, nuestro equipo de investigación encontró el programa malicioso AttackFiles, que está asociado con la familia de ransomware MedusaLocker. Este tipo de software está diseñado para cifrar archivos y exige un rescate por descifrarlos.

Cuando ejecutamos una muestra de AttackFiles en nuestro entorno de prueba, cifró los archivos y agregó la extensión ".attackfiles" a sus nombres. Por ejemplo, un archivo llamado "1.jpg" se convertiría en "1.jpg.attackfiles" y "2.png" se convertiría en "2.png.attackfiles", y así sucesivamente.

Al completar el proceso de cifrado, este ransomware generó una nota de rescate titulada "How_to_back_files.html". La nota se refiere al sistema infectado como una "red empresarial", lo que indica que los objetivos no son usuarios domésticos individuales. En el mensaje de rescate, AttackFiles afirma que la red empresarial de la víctima fue vulnerada, los archivos se cifraron utilizando algoritmos criptográficos RSA y AES y se robaron datos personales y confidenciales.

Para recuperar los archivos cifrados, se le pide a la víctima que pague un rescate. Si la víctima se niega a cumplir, el contenido robado se filtrará o se venderá. Antes de cumplir con las demandas de rescate, la capacidad de descifrado se puede probar en 2 o 3 archivos de forma gratuita. La nota también advierte contra acciones que podrían resultar en una pérdida permanente de datos.

Nota de rescate de AttackFiles completa

El texto completo de la nota de rescate de AttackFiles dice lo siguiente:

YOUR PERSONAL ID:

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to solve your problem.

We gathered highly confidential/personal data. These data are currently stored on a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
crypt2024_tm123@outlook.com
crypt2024_tm123@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

¿Cómo se distribuye habitualmente el ransomware en línea?

El ransomware normalmente se distribuye en línea a través de varios métodos, que incluyen:

Correos electrónicos de phishing: los atacantes envían correos electrónicos con archivos adjuntos o enlaces maliciosos, disfrazados de mensajes legítimos de fuentes confiables, como bancos, compañías navieras o agencias gubernamentales. Una vez que se abre el archivo adjunto o se hace clic en el enlace, el ransomware se descarga en el sistema de la víctima.

Publicidad maliciosa: los anuncios maliciosos (publicidades maliciosas) en sitios web legítimos pueden contener scripts que redirigen a los usuarios a sitios web que albergan ransomware o descargan ransomware directamente en el dispositivo del usuario sin su conocimiento.

Kits de exploits: son paquetes de software preempaquetados que contienen varios exploits dirigidos a vulnerabilidades en software o sistemas operativos obsoletos. Cuando un usuario visita un sitio web comprometido, el kit de explotación escanea su sistema en busca de vulnerabilidades y entrega cargas útiles de ransomware.

Ataques de protocolo de escritorio remoto (RDP): los atacantes explotan contraseñas débiles o predeterminadas en los servicios RDP para obtener acceso no autorizado a los sistemas. Una vez dentro, implementan ransomware directamente en la red.

Descargas no autorizadas: esto ocurre cuando un usuario visita un sitio web comprometido o malicioso y el malware se descarga e instala automáticamente en su sistema sin su consentimiento o conocimiento.

Intercambio de archivos de igual a igual (P2P): el ransomware se puede distribuir a través de software, juegos o archivos multimedia pirateados compartidos en redes P2P. Los atacantes pueden disfrazar el ransomware como archivos legítimos para engañar a los usuarios para que los descarguen y ejecuten.

Enlaces maliciosos en aplicaciones de chat y redes sociales: los atacantes pueden distribuir ransomware a través de enlaces compartidos en aplicaciones de chat o plataformas de redes sociales, incitando a los usuarios a hacer clic en ellos con mensajes u ofertas atractivos.

Ataques de abrevadero: en este método, los atacantes comprometen sitios web que son visitados con frecuencia por su público objetivo. Cuando los usuarios visitan estos sitios comprometidos, quedan expuestos, sin saberlo, al ransomware.

Estos son sólo algunos ejemplos de cómo se puede distribuir ransomware en línea. Los atacantes evolucionan constantemente sus tácticas para eludir las medidas de seguridad y explotar vulnerabilidades, lo que hace que sea fundamental que los usuarios y las organizaciones se mantengan alerta y empleen prácticas sólidas de ciberseguridad.