Bl00dyAdmin Ransomware amenaza con fugas de datos
Al analizar nuevas muestras de malware, identificamos una variante de ransomware denominada Bl00dyAdmin. Este software malicioso cifra datos y altera los nombres de los archivos cifrados añadiendo la extensión ".CRYPT". Además, Bl00dyAdmin genera un archivo llamado "Read_instructions_To_Decrypt.txt", que contiene instrucciones para realizar el pago del rescate.
El patrón de cambio de nombre de archivos de Bl00dyAdmin se ejemplifica transformando "1.jpg" en "1.jpg.CRYPT", "2.png" en "2.png.CRYPT", etc. La nota de rescate afirma que todos los archivos en los servidores y dispositivos interconectados de la organización han sido cifrados, lo que indica una posible violación o intrusión en la red. La nota describe un proceso de resolución que implica adquirir software de descifrado de los atacantes. El monto del rescate no se especifica, pero se dice que aumentará en $1000 cada 24 horas, lo que enfatiza la necesidad de tomar medidas rápidas en un plazo de 72 horas.
Además, la nota proporciona información de contacto a través del correo electrónico (bl00dyadmin@dnmx.org) y una aplicación de chat Tox. Incluye instrucciones para obtener el software de descifrado, junto con una oferta de demostración para descifrar tres archivos sin costo para verificar su efectividad. Sin embargo, la nota también emite severas advertencias sobre consecuencias nefastas en caso de incumplimiento, incluida la amenaza de revelar datos robados.
Nota de rescate de Bl00dyAdmin en su totalidad
El texto completo de la nota de rescate de Bl00dyAdmin dice lo siguiente:
Hello
We are a team of high-level competent team of Pentesters but NOT a THREAT to your reputable organization
We secure networks of companies to avoid complete destruction and damages to companies
We encrypted all files on Your servers to show sign of breach / network intrusion
To resolve this Continue reading !!!!ALL files oN Your Entire Network Servers and Connected Devices are Encrypted.
Means , Files are modified and are not usable at the moment.
Don't Panic !!!
All Encrypted files can be reversed to original form and become usable .
This is Only Possible if you buy the universal Decryption software from me.
Price for universal Decryption Software : $ Contact us either through email or tox chat app for the ransom price $
You Have 72 hours To Make Payment As Price of Universal Decryption software increases by $1000 dollars every 24 hours.
Contact on this email: bl00dyadmin@dnmx.org
copy email address and write message to bl00dyadmin@dnmx.org
You can write me on tox:
Download tox app from hxxps://tox.chat
Create new Account ..
Send me friend request using my tox id:
E5BBFAD2DB3FB497EA03612B2428F927FD8 A9B3333D524FD51D43B029B7870571CEB0166CB03
copy and paste it as it is
Before You Pay me … I will Decrypt 3 files for free To proof the universal Decryption software works
Failure to Pay Me :
Kindly RESPECT my Rules
Note: Huge amounts of Data / documents has been stolen from your Network servers and will be published online for free
I have stolen All Your Databases ; DAta on your shared drives ; AD users Emails(Good for Spam) ;
i have stolen huge amount of critical data from your serversI keep the breach private only if your cooperate
¿Cómo puede el ransomware infectar su sistema?
El ransomware puede infectar un sistema a través de diversos medios y los atacantes suelen emplear tácticas sofisticadas para explotar las vulnerabilidades. A continuación se muestran algunas formas comunes en las que el ransomware puede infiltrarse en un sistema:
Correos electrónicos de phishing: los atacantes suelen utilizar correos electrónicos de phishing para enviar ransomware. Estos correos electrónicos pueden contener archivos adjuntos o enlaces maliciosos que, al hacer clic en ellos, inician la descarga y ejecución del ransomware. Los correos electrónicos pueden parecer legítimos, a menudo haciéndose pasar por entidades acreditadas, y pueden contener mensajes urgentes o atractivos para incitar al destinatario a tomar medidas.
Sitios web maliciosos: visitar sitios web comprometidos o maliciosos puede exponer un sistema al ransomware. Esto puede ocurrir mediante descargas no autorizadas o incitando a los usuarios a hacer clic en contenido aparentemente inofensivo que en realidad contiene cargas útiles maliciosas.
Publicidad maliciosa: los ciberdelincuentes pueden comprometer las redes de publicidad en línea para distribuir anuncios maliciosos. Los usuarios que hacen clic en estos anuncios pueden descargar ransomware en sus sistemas sin saberlo. Este método se conoce como publicidad maliciosa.
Explotación de vulnerabilidades del software: el ransomware puede explotar vulnerabilidades en software, sistemas operativos o aplicaciones. Los ciberdelincuentes buscan y explotan activamente las debilidades de seguridad, y si un sistema no se actualiza rápidamente con los últimos parches de seguridad, se vuelve susceptible a ataques de ransomware.
Ataques de protocolo de escritorio remoto (RDP): si los servicios de escritorio remoto están mal configurados o protegidos con credenciales débiles, los atacantes pueden usar fuerza bruta u otros métodos para obtener acceso no autorizado. Una vez dentro, pueden implementar ransomware en el sistema o la red comprometidos.
Descargas no autorizadas: el ransomware se puede entregar a través de descargas no autorizadas, donde el código malicioso se descarga y ejecuta automáticamente cuando un usuario visita un sitio web comprometido o malicioso, a menudo sin ninguna interacción o conocimiento del usuario.
Instaladores de software infectados: los ciberdelincuentes pueden comprometer los instaladores de software legítimos inyectándoles ransomware. Los usuarios que sin saberlo descargan e instalan estas aplicaciones infectadas pueden introducir ransomware en sus sistemas sin darse cuenta.
