NullBulge Ransomware: apunta a los sectores de juegos e inteligencia artificial
Table of Contents
Comprender el ransomware NullBulge
NullBulge es un tipo de ransomware que se ha convertido en una amenaza importante, especialmente dirigida a entidades de juegos y de inteligencia artificial. Este software malicioso se basa en LockBit , una cepa de ransomware notoria conocida por su eficiencia y su impacto devastador. Al igual que otros ransomware, NullBulge se infiltra en los sistemas, cifra archivos y exige un rescate por descifrarlos. Lo que distingue a NullBulge es su orientación específica a los sectores de la inteligencia artificial y los juegos, explotando las dependencias de plataformas como GitHub y Hugging Face.
Una vez que NullBulge infecta un sistema, agrega una extensión aleatoria a los nombres de los archivos, lo que hace evidente qué archivos están comprometidos. Por ejemplo, un archivo llamado "imagen.png" podría cambiarse a "imagen.png.7V7uPExzv". Es probable que esta extensión aleatoria varíe según las diferentes infecciones. Además de cambiar el nombre de los archivos, NullBulge modifica el fondo de pantalla del escritorio y coloca una nota de rescate titulada "[extensión].README.txt".
La nota de rescate y las demandas
La nota de rescate dejada por NullBulge Ransomware es sencilla pero amenazadora. Informa a las víctimas que sus datos están encriptados y solo pueden recuperarse pagando a los atacantes en la criptomoneda Monero (XMR). La nota enfatiza que a los ciberdelincuentes sólo les interesa obtener ganancias monetarias, no influencia política. Para mantener su reputación, prometen proporcionar herramientas de descifrado una vez pagado el rescate. La nota también indica a las víctimas que se comuniquen con los atacantes a través de TOR para obtener una muestra gratuita de descifrado de archivos y advierte contra la eliminación o modificación de cualquier archivo, ya que esto podría obstaculizar la recuperación.
Este enfoque en la reputación es un movimiento estratégico de los atacantes para generar confianza, aunque bajo presión. Al proporcionar una muestra de descifrado gratuita, su objetivo es mostrar a las víctimas que realmente pueden descifrar los archivos, lo que hace que sea más probable que las víctimas paguen el rescate.
Aquí está el texto completo de la nota de rescate:
NULLBULGE LOCK - BASED ON LOCKBIT
Your data is encrypted… but dont freak out
If we encrypted you, you majorly f***ed up. But… all can be saved
But not for free, we require an xmr payment
What guarantees that we will not deceive you?We are not a politically motivated group and we do not need anything other than your money.
If you pay, we will provide you the programs for decryption.
Life is too short to be sad. Dont be sad money is only paper. Your files are more important than paper right?If we do not give you decrypter then nobody will pay us in the future.
To us, our reputation is very important. There is no dissatisfied victim after payment.You may contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID
Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.
Sometimes you will need to wait a whileLinks for Tor Browser:
hxxp://nullblgtk7dwzpfklgktzll27ovvnj7pvqkoprmhubnnb32qcbmcpgid.onion/Link for the normal browser
hxxp://group.goocasino.org
hxxps://nullbulge.comYour personal DECRYPTION ID: 217B9D5D58C4AD3C58695ABBA6C6AA0B
Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!
El modus operandi de NullBulge
El mecanismo de entrega de NullBulge implica la explotación de repositorios disponibles públicamente en plataformas como GitHub y Hugging Face. Las víctimas a menudo importan bibliotecas maliciosas sin saberlo, lo que provoca la infección. Los actores de amenazas detrás de NullBulge utilizan herramientas como Async RAT y XWorm para entregar las cargas útiles del ransomware. Estas herramientas les permiten obtener acceso remoto y control sobre los sistemas de la víctima, facilitando el proceso de cifrado.
Curiosamente, los ciberdelincuentes detrás de NullBulge afirman ser hacktivistas. Afirman que sus ataques son una forma de protesta contra la IA, con el objetivo de proteger a los artistas y creadores. Esta narrativa, sin embargo, no cambia el hecho de que su motivo principal es la ganancia financiera, como lo demuestra su demanda de rescates en criptomonedas.
Incidentes notables e impacto
Recientemente, NullBulge ganó mucha atención al filtrar datos y activos de Slack de Disney de la serie DuckTales. Esta violación de alto perfil subraya la capacidad del ransomware para atacar a las principales organizaciones e interrumpir sus operaciones. Además, los atacantes están activos en foros clandestinos, vendiendo datos robados y claves API de OpenAI. Estas actividades indican una estrategia más amplia para monetizar sus esfuerzos cibercriminales más allá del simple pago de rescates.
El impacto de NullBulge y ataques de ransomware similares puede ser devastador. Las víctimas a menudo enfrentan importantes tiempos de inactividad, pérdida de datos y daños a la reputación. La necesidad de pagar rescates surge de la dificultad de descifrar archivos sin las herramientas de los atacantes, a menos que haya disponible una herramienta de descifrado de terceros. Esto subraya la importancia de las medidas preventivas y las estrategias de respuesta eficaces.
El panorama más amplio del ransomware
El ransomware sigue siendo una herramienta popular entre los ciberdelincuentes por su potencial para generar ganancias sustanciales. Variantes como Ursq , Qual y NordCrypters ejemplifican la naturaleza diversa y evolutiva de las amenazas de ransomware. Estos programas maliciosos normalmente cifran los datos de las víctimas y exigen un pago por descifrarlos. Las víctimas con copias de seguridad de datos confiables a menudo pueden recuperar sus archivos sin cumplir con las demandas de los atacantes. Por lo tanto, las copias de seguridad periódicas de los datos almacenados en servidores remotos o dispositivos fuera de línea son cruciales.
Prevención de ataques de ransomware
Los objetivos principales de NullBulge Ransomware incluyen comunidades centradas en aplicaciones y juegos de inteligencia artificial. El ransomware se propaga a través de cadenas de suministro de software comprometidas, aprovechando vulnerabilidades de software, correos electrónicos maliciosos, unidades USB infectadas y otros vectores. Para protegerse contra este tipo de ataques, es esencial descargar software sólo de fuentes oficiales, evitar el software pirateado y tener cuidado con los archivos adjuntos y enlaces de correo electrónico de remitentes desconocidos.
Además, mantener prácticas sólidas de ciberseguridad, como el uso de software antivirus actualizado, la implementación de firewalls y la educación de los empleados sobre los ataques de phishing, puede reducir significativamente el riesgo de infección. Las prácticas de ciberhigiene, incluidas las actualizaciones periódicas de software y la supervisión del tráfico de red en busca de actividades inusuales, son fundamentales para defenderse contra el ransomware.
Por lo tanto, el ransomware NullBulge ejemplifica el panorama de amenazas persistentes y en evolución que enfrentan las organizaciones modernas, particularmente aquellas en los sectores de inteligencia artificial y juegos. Al comprender sus tácticas y adoptar medidas proactivas de ciberseguridad, las empresas pueden protegerse mejor contra esta y otras amenazas similares.
