Backoff Ransomware cambia lo sfondo del sistema

Il nostro team di ricerca ha identificato il ransomware Backoff durante l'esame di nuovi campioni di file. Questo software dannoso fa parte della famiglia di ransomware Chaos, un tipo di malware noto per crittografare i dati e richiedere riscatti per la decrittazione.

Backoff crittografa i file e aggiunge un'estensione ".backoff" ai loro nomi. Ad esempio, un file originale denominato "1.jpg" diventa "1.jpg.backoff" e "2.png" si trasforma in "2.png.backoff" e così via. Inoltre, il ransomware altera lo sfondo del desktop e genera una richiesta di riscatto denominata "read_it.txt".

Secondo il messaggio di Backoff, il ransomware sarebbe stato rilasciato a scopo di test. In particolare, la nota non contiene istruzioni per la decrittazione o il pagamento del riscatto, ma fornisce le informazioni di contatto degli aggressori. La nota suggerisce che l'autore del ransomware sa che il ransomware verrà esaminato all'interno di un sistema di prova, quindi si tratta probabilmente di una versione molto precoce ancora in fase di sviluppo attivo.

La richiesta di riscatto di backoff è breve

Il testo completo della brevissima richiesta di riscatto prodotta da Backoff recita quanto segue:

Good Afternoon.
Since you are being a pain and trying to grab my files and be nosey, here is a little treat.

Im testing stuff just as you are.

Care to chat. My tele is
@anontsugumi

Come può il ransomware propagarsi su Internet?

Il ransomware può propagarsi su Internet attraverso vari metodi, sfruttando vulnerabilità e comportamenti umani. Ecco alcuni modi comuni:

E-mail di phishing: i criminali informatici spesso utilizzano e-mail di phishing per distribuire ransomware. Queste e-mail contengono allegati o collegamenti dannosi che, se cliccati, possono scaricare ed eseguire il ransomware sul sistema della vittima.

Siti Web e download dannosi: la visita di siti Web compromessi o dannosi può esporre gli utenti a download drive-by, in cui malware, incluso il ransomware, vengono automaticamente scaricati ed eseguiti sul computer dell'utente a loro insaputa.

Kit di exploit: i criminali informatici possono utilizzare kit di exploit che prendono di mira le vulnerabilità nel software e nei sistemi operativi. Se il sistema di un utente non viene adeguatamente patchato o aggiornato, questi kit possono sfruttare le vulnerabilità per installare ransomware.

Malvertising: la pubblicità dannosa, o malvertising, implica l'inserimento di codice dannoso negli annunci pubblicitari online. Gli utenti che fanno clic su questi annunci potrebbero scaricare inconsapevolmente ransomware sui propri sistemi.

Download drive-by: il ransomware può essere distribuito tramite download drive-by, in cui il malware viene automaticamente scaricato e installato quando un utente visita un sito Web compromesso o dannoso. Ciò può accadere senza che sia richiesta alcuna azione da parte dell'utente.

Exploit RDP (Remote Desktop Protocol): gli aggressori possono sfruttare le vulnerabilità del protocollo RDP (Remote Desktop Protocol) per ottenere l'accesso non autorizzato a un sistema. Una volta entrati, possono distribuire ransomware.

Ingegneria sociale: i criminali informatici utilizzano tecniche di ingegneria sociale per indurre le persone a scaricare file dannosi o a fare clic su collegamenti. Ciò può avvenire tramite falsi aggiornamenti software, false notifiche o offerte allettanti.

Attacchi Watering Hole: negli attacchi Watering Hole i criminali informatici compromettono i siti web visitati di frequente dal pubblico target. Quando gli utenti visitano questi siti compromessi, potrebbero inconsapevolmente scaricare ransomware.