Bl00dyAdmin Ransomware grasina duomenų nutekėjimu

Analizuodami naujus kenkėjiškų programų pavyzdžius, nustatėme išpirkos reikalaujančios programos variantą, vadinamą Bl00dyAdmin. Ši kenkėjiška programinė įranga užšifruoja duomenis ir pakeičia užšifruotų failų pavadinimus, pridėdama plėtinį „.CRYPT“. Be to, Bl00dyAdmin sugeneruoja failą pavadinimu „Read_instructions_To_Decrypt.txt“, kuriame pateikiamos instrukcijos, kaip atlikti išpirkos mokėjimą.

„Bl00dyAdmin“ failų pervadinimo šablonas yra pavyzdinis, paverčiant „1.jpg“ į „1.jpg.CRYPT“, „2.png“ į „2.png.CRYPT“ ir pan. Išpirkos rašte teigiama, kad visi organizacijos serveriuose ir tarpusavyje sujungtuose įrenginiuose esantys failai buvo užšifruoti, o tai rodo galimą pažeidimą arba įsibrovimą į tinklą. Pastaba apibūdina sprendimo procesą, kuris apima iššifravimo programinės įrangos įsigijimą iš užpuolikų. Išpirkos suma nenurodyta, tačiau teigiama, kad ji padidės 1000 USD kas 24 valandas, pabrėžiant būtinybę imtis skubių veiksmų per 72 valandas.

Be to, pastaboje pateikiama kontaktinė informacija el. paštu (bl00dyadmin@dnmx.org) ir „Tox“ pokalbių programa. Jame pateikiamos instrukcijos, kaip gauti iššifravimo programinę įrangą, kartu su demonstraciniu pasiūlymu nemokamai iššifruoti tris failus, kad būtų patikrintas jos efektyvumas. Tačiau pastaboje taip pat pateikiami rimti įspėjimai dėl siaubingų neatitikimo pasekmių, įskaitant grėsmę atskleisti pavogtus duomenis.

Visas „Bl00dyAdmin“ išpirkos užrašas

Visas Bl00dyAdmin išpirkos rašto tekstas skamba taip:

Hello
We are a team of high-level competent team of Pentesters but NOT a THREAT to your reputable organization
We secure networks of companies to avoid complete destruction and damages to companies
We encrypted all files on Your servers to show sign of breach / network intrusion
To resolve this Continue reading !!!!

ALL files oN Your Entire Network Servers and Connected Devices are Encrypted.
Means , Files are modified and are not usable at the moment.
Don't Panic !!!
All Encrypted files can be reversed to original form and become usable .
This is Only Possible if you buy the universal Decryption software from me.
Price for universal Decryption Software : $ Contact us either through email or tox chat app for the ransom price $
You Have 72 hours To Make Payment As Price of Universal Decryption software increases by $1000 dollars every 24 hours.
Contact on this email: bl00dyadmin@dnmx.org
copy email address and write message to bl00dyadmin@dnmx.org
You can write me on tox:
Download tox app from hxxps://tox.chat
Create new Account ..
Send me friend request using my tox id:
E5BBFAD2DB3FB497EA03612B2428F927FD8 A9B3333D524FD51D43B029B7870571CEB0166CB03
copy and paste it as it is
Before You Pay me … I will Decrypt 3 files for free To proof the universal Decryption software works
Failure to Pay Me :
Kindly RESPECT my Rules
Note: Huge amounts of Data / documents has been stolen from your Network servers and will be published online for free
I have stolen All Your Databases ; DAta on your shared drives ; AD users Emails(Good for Spam) ;
i have stolen huge amount of critical data from your servers

I keep the breach private only if your cooperate

Kaip Ransomware gali užkrėsti jūsų sistemą?

Išpirkos reikalaujančios programos gali užkrėsti sistemą įvairiomis priemonėmis, o užpuolikai dažnai taiko sudėtingą taktiką, kad išnaudotų pažeidžiamumą. Štai keletas bendrų būdų, kaip išpirkos reikalaujančios programos gali įsiskverbti į sistemą:

Sukčiavimo el. laiškai: užpuolikai dažnai naudoja sukčiavimo el. laiškus, kad pristatytų išpirkos reikalaujančią programinę įrangą. Šiuose el. laiškuose gali būti kenkėjiškų priedų arba nuorodų, kurias spustelėjus pradedamas išpirkos reikalaujančios programos atsisiuntimas ir vykdymas. El. laiškai gali atrodyti teisėti, dažnai apsimetinėjančiais patikimais subjektais, juose gali būti skubių arba viliojančių pranešimų, raginančių gavėją imtis veiksmų.

Kenkėjiškos svetainės: lankantis pažeistose ar kenkėjiškose svetainėse, sistemoje gali atsirasti išpirkos reikalaujančių programų. Tai gali įvykti greitai atsisiunčiant arba viliojant vartotojus spustelėti iš pažiūros nekenksmingą turinį, kuriame iš tikrųjų yra kenksmingų krovinių.

Piktybinis reklamavimas: kibernetiniai nusikaltėliai gali pažeisti internetinės reklamos tinklus, kad platintų kenkėjiškas reklamas. Vartotojai, spustelėję šiuos skelbimus, gali nesąmoningai atsisiųsti išpirkos reikalaujančią programinę įrangą į savo sistemas. Šis metodas žinomas kaip netinkamas reklamavimas.

Programinės įrangos pažeidžiamumų išnaudojimas: Ransomware gali išnaudoti programinės įrangos, operacinių sistemų ar programų spragas. Kibernetiniai nusikaltėliai aktyviai ieško ir naudojasi saugos trūkumais, o jei sistema greitai neatnaujinama naujausiomis saugos pataisomis, ji tampa jautri išpirkos reikalaujančių programų atakoms.

Nuotolinio darbalaukio protokolo (RDP) atakos: jei nuotolinio darbalaukio paslaugos yra netinkamai sukonfigūruotos arba apsaugotos silpnais kredencialais, užpuolikai gali naudoti brutalią jėgą ar kitus metodus, kad gautų neteisėtą prieigą. Patekę į vidų, jie gali įdiegti išpirkos reikalaujančią programinę įrangą pažeistoje sistemoje arba tinkle.

„Drive-by“ atsisiuntimai: „Ransomware“ gali būti pristatyta naudojant „Drive-by“ atsisiuntimus, kai kenkėjiškas kodas automatiškai atsisiunčiamas ir vykdomas, kai vartotojas apsilanko pažeistoje ar kenkėjiškoje svetainėje, dažnai be jokios vartotojo sąveikos ir nesuvokimo.

Užkrėstos programinės įrangos diegimo programos: kibernetiniai nusikaltėliai gali pažeisti teisėtus programinės įrangos montuotojus, įkėlę į juos išpirkos reikalaujančių programų. Vartotojai, kurie nesąmoningai atsisiunčia ir įdiegia šias užkrėstas programas, gali netyčia į savo sistemas įtraukti išpirkos reikalaujančias programas.