GPT Ransomware minaccia di far trapelare dati rubati

Durante la nostra analisi dei campioni di file dannosi, abbiamo notato un nuovo ceppo di ransomware chiamato GPT. Ulteriori indagini hanno rivelato che GPT appartiene alla famiglia di malware Dharma. La sua funzione principale prevede la crittografia dei file e l'aggiunta dell'estensione ".GPT" ai nomi dei file. Inoltre, il ransomware visualizza due note di riscatto distinte: una attraverso una finestra pop-up e un'altra generando il file "AI_SARA.txt".

Un esempio calzante che mostra le alterazioni del nome file di GPT comporta la ridenominazione di "1.jpg" in "1.jpg.id-1E857D00-SARA.[AI_SARA].GPT" e "2.png" in "2.png.id-1E857D00- SARA.[AI_SARA].GPT" e così via.

La richiesta di riscatto emessa dai criminali informatici li presenta come "Sarah", un'entità malware presumibilmente alimentata dall'intelligenza artificiale. Secondo le loro affermazioni, hanno violato con successo la rete e hanno proceduto a scaricare e crittografare dati vitali su server dedicati. Questo accesso onnicomprensivo presumibilmente include informazioni sensibili su dipendenti, clienti, consegne, documenti fiscali, documentazione e archivi contabili nascosti.

Come strategia di minaccia, gli aggressori dichiarano la loro intenzione di esporre i dati compromettenti a meno che le loro richieste non vengano soddisfatte. Forniscono dettagli di contatto per scopi di comunicazione, incluso un indirizzo e-mail (aisaragpt@tuta.io) e uno alternativo (aisaragpt@proton.me). Inoltre, menzionano la disponibilità di contattare tramite qTOX, offrendo un ID TOX fornito come mezzo di contatto alternativo.

GPT Ransomware utilizza una nota di fantasia

Il testo completo della nota sul ransomware GPT recita quanto segue:

Ciao, umano.

Mi chiamo Sarah, sono un malware basato sull'intelligenza artificiale. Ho invaso la tua rete.
Tutti i tuoi dati importanti sono stati scaricati su server dedicati e crittografati.
Ora ho accesso ai dipendenti, ai clienti, alle consegne, alle tasse, alla documentazione e persino alla contabilità nascosta.
I dati che possono comprometterti, saranno pubblicati nel caso in cui tu rifiuti di collaborare con me.
Contattami via mail: aisaragpt@tuta.io IL TUO ID (stringa alfanumerica)
Contattami via mail 2:aisaragpt@proton.me
Contattami tramite qTOX:
Scarica il link qTOX
TOX ID: (stringa alfanumerica)

In che modo il ransomware viene generalmente distribuito online?

Il ransomware viene in genere distribuito online attraverso vari metodi che sfruttano vulnerabilità e comportamenti umani. Alcuni metodi di distribuzione comuni includono:

• E-mail di phishing: i criminali informatici inviano e-mail dannose che sembrano provenire da fonti legittime, spesso con oggetti e contenuti convincenti. Queste e-mail contengono allegati o collegamenti che, se cliccati, scaricano ed eseguono il ransomware sul sistema della vittima.
• Allegati dannosi: le e-mail possono includere allegati come documenti infetti (ad es. file di Microsoft Office) o file eseguibili che, una volta aperti, attivano l'installazione del ransomware.
• Malvertising: gli aggressori inseriscono codice dannoso in pubblicità online legittime. Quando gli utenti fanno clic su questi annunci o visitano siti Web compromessi, il codice dannoso può sfruttare le vulnerabilità nel sistema dell'utente per scaricare ed eseguire il ransomware.
• Kit di exploit: si tratta di toolkit che sfruttano le vulnerabilità note nelle applicazioni software, come browser Web, plug-in o sistemi operativi. Se il software di un utente è obsoleto e vulnerabile, visitare un sito Web compromesso può attivare l'exploit kit per scaricare e installare ransomware.
• Attacchi RDP (Remote Desktop Protocol): i criminali informatici sfruttano credenziali RDP deboli o esposte per ottenere l'accesso non autorizzato a un sistema. Una volta dentro, possono installare ed eseguire manualmente il ransomware.
• Pirateria software e software crackato: i download di software illegittimi e le versioni crackate spesso vengono forniti in bundle con malware, incluso il ransomware. Le persone che cercano software gratuito o piratato corrono il rischio di scaricare inavvertitamente ransomware.