GPT Ransomware truer med å lekke stjålne data

Under vår analyse av ondsinnede filprøver, ble vi oppmerksom på en ny ransomware-stamme kalt GPT. Ytterligere undersøkelser avslørte at GPT tilhører Dharma malware-familien. Dens primære funksjon innebærer å kryptere filer og legge til filtypen ".GPT" til filnavnene. I tillegg viser løsepengevaren to forskjellige løsepenger-notater – en gjennom et popup-vindu og en annen ved å generere «AI_SARA.txt»-filen.

Et eksempel på GPTs filnavnsendringer innebærer å gi nytt navn til "1.jpg" til "1.jpg.id-1E857D00-SARA.[AI_SARA].GPT," og "2.png" til "2.png.id-1E857D00- SARA.[AI_SARA].GPT," og så videre.

Løseseddelen utstedt av nettkriminelle introduserer dem som "Sarah", en skadevareenhet som angivelig er drevet av kunstig intelligens. I følge deres påstander har de vellykket brutt nettverket og fortsatte med å laste ned og kryptere viktige data til dedikerte servere. Denne omfattende tilgangen inkluderer angivelig sensitiv informasjon som spenner over ansatte, kunder, leveranser, skatteregistreringer, dokumentasjon og skjulte regnskapsarkiver.

Som en trusselstrategi erklærer angriperne sin intensjon om å avsløre kompromitterende data med mindre kravene deres blir oppfylt. De gir kontaktinformasjon for kommunikasjonsformål, inkludert en e-postadresse (aisaragpt@tuta.io) og en alternativ (aisaragpt@proton.me). I tillegg nevner de tilgjengeligheten av å nå ut via qTOX, og tilby en gitt TOX ID som et alternativt kontaktmiddel.

GPT Ransomware bruker fancy notat

Den fullstendige teksten til GPT-ransomware-notatet lyder som følger:

Hei, menneske.

Jeg heter Sarah, jeg er en skadelig programvare basert på kunstig intelligens. Jeg har invadert nettverket ditt.
Alle viktige data har blitt lastet ned til en dedikert server og kryptert.
Nå har jeg tilgang til ansatte, kunder, leveranser, skatter, dokumentasjon og til og med skjult regnskap.
Dataene som kan kompromittere deg, vil bli publisert i tilfelle du nekter å samarbeide med meg.
Kontakt meg på e-post: aisaragpt@tuta.io ID-en din (alfanumerisk streng)
Kontakt meg på mail 2:aisaragpt@proton.me
Kontakt meg via qTOX:
Last ned lenke qTOX
TOX ID: (alfanumerisk streng)

Hvordan distribueres ransomware vanligvis på nettet?

Ransomware distribueres vanligvis på nettet gjennom ulike metoder som utnytter sårbarheter og menneskelig atferd. Noen vanlige distribusjonsmetoder inkluderer:

• Phishing-e-poster: Nettkriminelle sender ondsinnede e-poster som ser ut til å komme fra legitime kilder, ofte med overbevisende emnelinjer og innhold. Disse e-postene inneholder vedlegg eller lenker som, når de klikkes, laster ned og kjører løsepengevaren på offerets system.
• Ondsinnede vedlegg: E-poster kan inneholde vedlegg som infiserte dokumenter (f.eks. Microsoft Office-filer) eller kjørbare filer som, når de åpnes, utløser løsepengevareinstallasjonen.
• Malvertising: Angripere injiserer ondsinnet kode i legitime nettannonser. Når brukere klikker på disse annonsene eller besøker kompromitterte nettsteder, kan den skadelige koden utnytte sårbarheter i brukerens system for å laste ned og kjøre løsepengevaren.
• Utnyttelsessett: Dette er verktøysett som utnytter kjente sårbarheter i programvareapplikasjoner, for eksempel nettlesere, plugins eller operativsystemer. Hvis en brukers programvare er utdatert og sårbar, kan besøk på et kompromittert nettsted utløse utnyttelsessettet til å laste ned og installere løsepengeprogramvare.
• Remote Desktop Protocol (RDP)-angrep: Cyberkriminelle utnytter svak eller utsatt RDP-legitimasjon for å få uautorisert tilgang til et system. Når de er inne, kan de manuelt installere og utføre løsepengeprogramvare.
• Piratkopiering av programvare og cracked programvare: Ulovlige programvarenedlastinger og crackte versjoner kommer ofte sammen med skadelig programvare, inkludert løsepengeprogramvare. Personer som søker etter gratis eller piratkopiert programvare risikerer å utilsiktet laste ned løsepengeprogramvare.