TUGA Ransomware utilizza una nota di riscatto concisa

Il nostro team di ricerca si è imbattuto in una nuova forma di ransomware chiamata TUGA. Questo software dannoso crittografa i file, aggiungendo la sua estensione distinta (".TUGA") ai nomi dei file originali. Inoltre, lascia una richiesta di riscatto denominata "README.txt" per informare le vittime della compromissione. La scoperta di TUGA è avvenuta durante l'analisi di vari nuovi campioni di malware. Una caratteristica notevole di TUGA è il suo processo di ridenominazione dei file, in cui modifica i nomi dei file aggiungendovi ".TUGA". Ad esempio, un file denominato "1.jpg" verrebbe modificato in "2.jpg.TUGA" e "2.png" diventerebbe "2.png.TUGA" e così via.

La richiesta di riscatto lasciata da TUGA funge da notifica per le persone interessate, avvisandole della violazione della sicurezza. All'interno della nota, gli hacker forniscono un collegamento al canale Telegram "t.me/hell2cat" come mezzo di comunicazione. Chiedono un pagamento di $ 1000 in cambio della chiave di decrittazione necessaria per riottenere l'accesso ai file crittografati.

La richiesta di riscatto TUGA richiede un pagamento di $ 1000

Il brevissimo testo della nota sul ransomware TUGA recita quanto segue:

Sei stato hackerato
t.me/hell2cat
Pagami 1000$ e ti darò la chiave di decrittazione!
Oppure entrerai a far parte di un elenco di reti terroristiche: C

Il tono ridicolo suggerisce che l'operatore del ransomware potrebbe essere più uno script kiddie e meno un vero attore di minacce.

In che modo il ransomware può infettare il tuo sistema?

Il ransomware può infiltrarsi nel tuo sistema attraverso vari metodi, spesso sfruttando vulnerabilità o utilizzando tattiche ingannevoli. Ecco alcuni modi comuni in cui il ransomware può infettare il tuo sistema:

• E-mail di phishing: un metodo prevalente è tramite e-mail di phishing. Gli aggressori inviano e-mail dannose che sembrano legittime, inducendo i destinatari a fare clic su allegati infetti o collegamenti dannosi. Una volta cliccato, il ransomware viene scaricato ed eseguito sul sistema.
• Siti Web e download dannosi: visitare siti Web compromessi o scaricare file da fonti non attendibili può portare a un'infezione da ransomware. Gli aggressori possono incorporare codice dannoso o file infetti su questi siti Web o mascherare malware come software legittimo.
• Sfruttamento delle vulnerabilità del software: il ransomware può sfruttare le vulnerabilità della sicurezza nelle applicazioni software o nei sistemi operativi. Se non hai applicato le patch o gli aggiornamenti di sicurezza necessari, gli aggressori possono sfruttare questi punti deboli per ottenere l'accesso non autorizzato e installare ransomware.
• Malvertising: gli aggressori possono utilizzare pubblicità dannose (malvertising) su siti Web legittimi per distribuire ransomware. Questi annunci possono contenere codice che scarica ed esegue automaticamente il ransomware quando si fa clic o anche senza alcuna interazione da parte dell'utente.
• Attacchi Remote Desktop Protocol (RDP): se Remote Desktop Protocol è abilitato sul sistema con credenziali deboli o predefinite, i criminali informatici possono utilizzare attacchi di forza bruta per ottenere l'accesso non autorizzato. Una volta all'interno, possono distribuire ransomware e crittografare i file.
• Download drive-by: il ransomware può essere distribuito tramite download drive-by, in cui il malware viene scaricato ed eseguito automaticamente quando si visitano siti Web compromessi o si fa clic su annunci pubblicitari infetti.
• Reti dannose per la condivisione di file: il download di file da reti peer-to-peer (P2P) o di condivisione di file può esporvi al ransomware. I criminali informatici spesso mascherano il ransomware all'interno di file apparentemente innocui condivisi su queste piattaforme.
• Dispositivi USB e dispositivi di archiviazione esterni: il collegamento di dispositivi USB infetti o supporti di archiviazione esterni, come dischi rigidi esterni o chiavette USB, al sistema può introdurre ransomware. Può diffondersi attraverso le funzionalità di esecuzione automatica o inducendo gli utenti a eseguire file dannosi.

Per proteggere il tuo sistema dal ransomware, è essenziale seguire le migliori pratiche di sicurezza come mantenere il software e il sistema operativo aggiornati, prestare attenzione quando si fa clic sui collegamenti o si aprono gli allegati nelle e-mail, utilizzare un software di sicurezza affidabile, eseguire regolarmente il backup dei file importanti e vigilare sulle attività online sospette.