EXISC Ransomware prende di mira aziende e aziende
Durante la nostra indagine sui nuovi invii sul sito di VirusTotal, ci siamo imbattuti in un programma ransomware chiamato EXISC. Il suo scopo principale è crittografare i dati e richiedere il pagamento in cambio della loro decrittazione.
Dopo aver eseguito un campione di EXISC sul nostro sistema di test, abbiamo osservato che crittografava correttamente i file e aggiungeva un'estensione ".EXISC" ai loro nomi di file originali. Ad esempio, un file denominato "1.jpg" verrebbe trasformato in "1.jpg.EXISC", mentre "2.png" diventerebbe "2.png.EXISC" e così via.
Dopo il processo di crittografia, EXISC ha generato una nota di riscatto intitolata "Contattaci per ripristinare.txt". Dal contenuto di questo messaggio è emerso che il ransomware prende di mira principalmente le grandi organizzazioni piuttosto che i singoli utenti domestici.
La richiesta di riscatto comunica alla vittima che la rete della sua azienda è stata compromessa. L'entità del danno è delineata come segue: i file sono stati crittografati e sono stati rubati dati sensibili o riservati.
Secondo la nota, la vittima deve effettuare un pagamento di riscatto per riottenere l'accesso ai propri file e impedire la fuoriuscita del contenuto esfiltrato. Sebbene l'importo esatto del riscatto non sia specificato, viene esplicitamente menzionato che il pagamento deve essere effettuato in criptovalute Bitcoin o Monero.
Inoltre, la nota suggerisce che un certo numero di file può essere inviato per una decrittazione di prova. Questo dovrebbe servire come prova per la vittima che il recupero dei dati è effettivamente possibile.
La richiesta di riscatto EXISC prevede un contatto tramite Tox
Il testo completo della nota di riscatto EXISC recita quanto segue:
Ciao, il computer della tua azienda è crittografato da me e il database e i dati vengono scaricati. Se non vuoi che riveli questi materiali, devi pagarmi un riscatto. Dopo aver ricevuto il riscatto, eliminerò tutti i file scaricati e ti aiuterò a decifrare il tuo computer, altrimenti, se lo faremo, divulgheremo questi materiali e la tua azienda dovrà affrontare ripercussioni senza precedenti.
Lavoriamo solo per soldi e non distruggiamo la tua rete, e siamo molto onesti. Dopo aver ricevuto il riscatto, ti forniremo anche informazioni sulla vulnerabilità del tuo sistema per aiutarti a correggere la vulnerabilità per evitare nuovi attacchi.
Se dubiti della nostra capacità di decrittografare i file, puoi inviarmi alcuni file crittografati e io li decrittograferò per dimostrarlo.
Si prega di pagare il riscatto in Bitcoin o Monero.
Si prega di utilizzare TOX per contattarmi o inviarmi un'e-mail.
E-mail:HonestEcoZ@dnmx.org
TOX ID:(stringa alfanumerica)
Scarica TOX:hxxps://tox.chat/download.html
Quali sono i vettori di infezione più comuni per ransomware come EXISC?
Ransomware come EXISC utilizza vari vettori di infezione per infiltrarsi in sistemi e reti. Di seguito sono riportati alcuni dei vettori di infezione più comuni utilizzati dal ransomware:
- E-mail di phishing: le e-mail di phishing rimangono un metodo prevalente per la distribuzione di ransomware. I criminali informatici creano e-mail convincenti che sembrano legittime, spesso impersonando entità o individui fidati. Queste e-mail contengono allegati dannosi o collegamenti incorporati che, se cliccati o aperti, avviano il processo di infezione da ransomware.
- Download e allegati dannosi: il ransomware può essere scaricato inavvertitamente da siti Web dannosi o tramite allegati di file infetti. Ciò può verificarsi quando gli utenti visitano siti Web compromessi o aprono allegati e-mail che contengono file eseguibili, macro o payload basati su script.
- Kit di exploit: i kit di exploit sono strumenti dannosi che sfruttano le vulnerabilità del software presenti nei browser Web, nei plug-in o nei sistemi operativi. Sfruttando queste vulnerabilità, il ransomware può essere inviato silenziosamente al sistema di una vittima quando visita un sito Web compromesso o fa clic su un annuncio pubblicitario dannoso.
- Attacchi RDP (Remote Desktop Protocol): gli operatori di ransomware spesso prendono di mira i sistemi con connessioni Remote Desktop Protocol esposte o scarsamente protette. Usano tecniche di forza bruta per ottenere l'accesso non autorizzato e installare il ransomware.
- Vulnerabilità software: il ransomware può sfruttare vulnerabilità software prive di patch o obsolete per infiltrarsi nei sistemi. Ciò include vulnerabilità nei sistemi operativi, nelle applicazioni o nei servizi di rete, che consentono al ransomware di ottenere l'accesso non autorizzato ed eseguire il suo payload.
- Malvertising: pubblicità dannose, o malvertisement, possono essere trovate su siti Web o reti pubblicitarie legittimi. Questi annunci contengono script nascosti che reindirizzano gli utenti a siti Web dannosi che ospitano ransomware o attivano download automatici del payload del ransomware.
- Download drive-by: i download drive-by si verificano quando il ransomware viene scaricato automaticamente senza il consenso o l'interazione dell'utente, in genere da siti Web compromessi. Questi siti Web contengono codice dannoso che sfrutta le vulnerabilità nel browser Web o nei plug-in dell'utente, consentendo la consegna silenziosa del ransomware.