Il ransomware Architects sembra prendere di mira le aziende

Durante la nostra analisi dei nuovi invii, il nostro team di ricerca si è imbattuto in un programma dannoso chiamato Architects. Questo programma rientra nella categoria dei ransomware, un tipo di malware che crittografa i dati e richiede un riscatto per la sua decrittazione.

Sulla nostra macchina di prova, Architects ha crittografato con successo i file e ne ha modificato i nomi aggiungendo un'estensione ".architects". Ad esempio, un file denominato "1.jpg" è diventato "1.jpg.architects" e "2.png" è stato trasformato in "2.png.architects" e così via per tutti i file interessati. Dopo aver completato il processo di crittografia, il ransomware ha generato un messaggio denominato "readme.txt", chiedendo un riscatto.

La nota di riscatto lasciata da Architects informa la vittima della crittografia dei propri file e mette in guardia contro il tentativo di utilizzare strumenti di decrittazione di terze parti. Inoltre, il messaggio afferma che le informazioni sensibili dal sistema sono state esfiltrate. La vittima viene inoltre avvertita che se rifiuta di collaborare con gli aggressori, il contenuto rubato verrà esposto pubblicamente.

La nota di riscatto degli architetti non elenca una somma di riscatto specifica

Il testo completo della nota di riscatto degli architetti recita quanto segue:

I tuoi server sono BLOCCATI. Non tentare di utilizzare altri software.
I dati sensibili sul tuo sistema sono stati scaricati e saranno pubblicati se ti rifiuti di collaborare.
Puoi contattarci direttamente per ulteriori istruzioni tramite e-mail:

sudorocky@tutanota.com
sudorocky@protonmail.com

In oggetto scrivi il tuo ID personale (sotto).

Informazioni di ripristino:
chiave: -
ID personale: -

In che modo Ransomware Like Architects viene distribuito online?

Il ransomware, come Architects, viene in genere distribuito online attraverso vari metodi. Queste tecniche di distribuzione spesso sfruttano vulnerabilità umane, vulnerabilità software o entrambe. Ecco alcuni modi comuni in cui ransomware come Architects viene distribuito online:

• E-mail di phishing: uno dei metodi più diffusi per distribuire ransomware è tramite e-mail di phishing. I criminali informatici inviano e-mail ingannevoli che sembrano legittime, contenenti collegamenti dannosi o allegati infetti. Quando gli utenti fanno clic su questi collegamenti o aprono gli allegati, il ransomware viene eseguito sul loro sistema.
• Siti Web e annunci dannosi: i criminali informatici possono compromettere siti Web legittimi o creare siti Web fasulli che ospitano codice dannoso. Gli utenti che visitano questi siti potrebbero scaricare inconsapevolmente ransomware sui propri dispositivi. Allo stesso modo, annunci pubblicitari dannosi (malvertising) su siti Web legittimi possono portare gli utenti a siti dannosi in cui viene distribuito ransomware.
• Exploit Kit: il ransomware può essere distribuito tramite exploit kit, che sono toolkit che sfruttano le vulnerabilità note nel software. Quando gli utenti visitano siti Web compromessi o dannosi, questi kit di exploit rilevano e sfruttano automaticamente il software vulnerabile per distribuire ransomware.
• Attacchi RDP (Remote Desktop Protocol): i criminali informatici prendono di mira i servizi RDP con password deboli o difetti di sicurezza. Una volta ottenuto l'accesso, distribuiscono ransomware sui sistemi compromessi.
• Download drive-by: negli attacchi drive-by download, il ransomware viene scaricato e installato automaticamente sul dispositivo di un utente quando visita un sito Web compromesso o dannoso, senza alcuna interazione o consapevolezza da parte dell'utente.
• Allegati e collegamenti e-mail dannosi: il ransomware può essere inviato come allegati o collegamenti nelle e-mail che richiedono agli utenti di scaricarli o aprirli. Queste e-mail possono mascherarsi da fatture, notifiche di spedizione o altre comunicazioni apparentemente legittime.