Backoff Ransomware cambia el fondo de pantalla del sistema

Nuestro equipo de investigación identificó el ransomware Backoff durante un examen de nuevas muestras de archivos. Este software malicioso forma parte de la familia de ransomware Chaos, un tipo de malware conocido por cifrar datos y exigir rescates por descifrarlos.

Backoff cifra archivos y agrega una extensión ".backoff" a sus nombres. Por ejemplo, un archivo original llamado "1.jpg" se convirtió en "1.jpg.backoff" y "2.png" se transforma en "2.png.backoff", y así sucesivamente. Además, el ransomware altera el fondo de pantalla del escritorio y genera una nota de rescate llamada "read_it.txt".

Según el mensaje de Backoff, el ransomware supuestamente se lanzó con fines de prueba. En particular, la nota carece de instrucciones para el descifrado o el pago del rescate, pero proporciona información de contacto de los atacantes. La nota sugiere que el autor del ransomware sabe que el ransomware se examinará dentro de un sistema de banco de pruebas, por lo que es probable que se trate de una versión muy temprana que aún se encuentra en desarrollo activo.

La nota de rescate de retirada es breve

El texto completo de la breve nota de rescate producida por Backoff dice lo siguiente:

Good Afternoon.
Since you are being a pain and trying to grab my files and be nosey, here is a little treat.

Im testing stuff just as you are.

Care to chat. My tele is
@anontsugumi

¿Cómo puede propagarse el ransomware a través de Internet?

El ransomware puede propagarse a través de Internet a través de varios métodos, aprovechando vulnerabilidades y comportamientos humanos. A continuación se muestran algunas formas comunes:

Correos electrónicos de phishing: los ciberdelincuentes suelen utilizar correos electrónicos de phishing para distribuir ransomware. Estos correos electrónicos contienen archivos adjuntos o enlaces maliciosos que, al hacer clic en ellos, pueden descargar y ejecutar el ransomware en el sistema de la víctima.

Sitios web y descargas maliciosos: visitar sitios web comprometidos o maliciosos puede exponer a los usuarios a descargas no autorizadas, donde el malware, incluido el ransomware, se descarga y ejecuta automáticamente en la computadora del usuario sin su conocimiento.

Kits de explotación: los ciberdelincuentes pueden utilizar kits de explotación dirigidos a vulnerabilidades en software y sistemas operativos. Si el sistema de un usuario no está parcheado o actualizado adecuadamente, estos kits pueden aprovechar las vulnerabilidades para instalar ransomware.

Publicidad maliciosa: la publicidad maliciosa, o publicidad maliciosa, implica colocar código malicioso en anuncios en línea. Los usuarios que hacen clic en estos anuncios pueden descargar ransomware en sus sistemas sin saberlo.

Descargas no autorizadas: el ransomware se puede distribuir mediante descargas no autorizadas, donde el malware se descarga e instala automáticamente cuando un usuario visita un sitio web comprometido o malicioso. Esto puede suceder sin que se requiera ninguna acción por parte del usuario.

Explotaciones del Protocolo de escritorio remoto (RDP): los atacantes pueden aprovechar las vulnerabilidades del Protocolo de escritorio remoto (RDP) para obtener acceso no autorizado a un sistema. Una vez dentro, pueden implementar ransomware.

Ingeniería social: los ciberdelincuentes utilizan técnicas de ingeniería social para engañar a las personas para que descarguen archivos maliciosos o hagan clic en enlaces. Esto puede deberse a actualizaciones de software falsas, notificaciones falsas u ofertas atractivas.

Ataques de abrevadero: en los ataques de abrevadero, los ciberdelincuentes comprometen sitios web que son visitados con frecuencia por el público objetivo. Cuando los usuarios visitan estos sitios comprometidos, pueden descargar ransomware sin saberlo.