NullBulge Ransomware: retter seg mot AI- og spillsektorene
Table of Contents
Forstå NullBulge Ransomware
NullBulge er en type løsepengevare som har dukket opp som en betydelig trussel, spesielt rettet mot AI og spillenheter. Denne ondsinnede programvaren er basert på LockBit , en beryktet løsepengevare som er kjent for sin effektivitet og ødeleggende virkning. Som andre løsepengeprogrammer infiltrerer NullBulge systemer, krypterer filer og krever løsepenger for dekryptering. Det som skiller NullBulge er dens spesifikke målretting mot AI og spillsektorer, og utnytter avhengighetene til plattformer som GitHub og Hugging Face.
Når NullBulge infiserer et system, legger det til en tilfeldig utvidelse til filnavn, noe som gjør det tydelig hvilke filer som er kompromittert. For eksempel kan en fil som heter "picture.png" bli omdøpt til "picture.png.7V7uPExzv." Denne tilfeldige utvidelsen vil sannsynligvis variere på tvers av forskjellige infeksjoner. I tillegg til å gi nytt navn til filer, endrer NullBulge skrivebordsbakgrunnen og slipper en løsepenge med tittelen "[utvidelse].README.txt."
Løsepengeseddelen og kravene
Løsepengene som ble lagt igjen av NullBulge Ransomware er grei, men likevel truende. Den informerer ofrene om at dataene deres er kryptert og bare kan gjenopprettes ved å betale angriperne i Monero (XMR) kryptovaluta. Notatet understreker at nettkriminelle utelukkende er interessert i pengegevinst, ikke politisk innflytelse. For å opprettholde sitt rykte lover de å tilby dekrypteringsverktøy etter at løsepengene er betalt. Notatet instruerer også ofre om å kontakte angriperne via TOR for en gratis fildekrypteringsprøve og advarer mot å slette eller endre filer, da dette kan hindre gjenoppretting.
Dette fokuset på omdømme er et strategisk grep fra angriperne for å bygge tillit, om enn under tvang. Ved å gi en gratis dekrypteringsprøve, tar de sikte på å vise ofrene at de faktisk kan dekryptere filene, noe som gjør ofrene mer sannsynlig å betale løsepenger.
Her er hele teksten til løsepengene:
NULLBULGE LOCK - BASED ON LOCKBIT
Your data is encrypted… but dont freak out
If we encrypted you, you majorly f***ed up. But… all can be saved
But not for free, we require an xmr payment
What guarantees that we will not deceive you?We are not a politically motivated group and we do not need anything other than your money.
If you pay, we will provide you the programs for decryption.
Life is too short to be sad. Dont be sad money is only paper. Your files are more important than paper right?If we do not give you decrypter then nobody will pay us in the future.
To us, our reputation is very important. There is no dissatisfied victim after payment.You may contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID
Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.
Sometimes you will need to wait a whileLinks for Tor Browser:
hxxp://nullblgtk7dwzpfklgktzll27ovvnj7pvqkoprmhubnnb32qcbmcpgid.onion/Link for the normal browser
hxxp://group.goocasino.org
hxxps://nullbulge.comYour personal DECRYPTION ID: 217B9D5D58C4AD3C58695ABBA6C6AA0B
Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!
Modus Operandi til NullBulge
NullBulges leveringsmekanisme innebærer å utnytte offentlig tilgjengelige arkiver på plattformer som GitHub og Hugging Face. Ofre importerer ofte ubevisst ondsinnede biblioteker, noe som fører til infeksjonen. Trusselaktørene bak NullBulge bruker verktøy som Async RAT og XWorm for å levere løsepengelastene. Disse verktøyene gjør det mulig for dem å få ekstern tilgang og kontroll over offerets systemer, noe som letter krypteringsprosessen.
Interessant nok hevder nettkriminelle bak NullBulge å være hacktivister. De hevder at angrepene deres er en form for protest mot AI, med sikte på å beskytte artister og skapere. Denne fortellingen endrer imidlertid ikke det faktum at deres primære motiv er økonomisk vinning, som bevist av deres krav om løsepenger for kryptovaluta.
Viktige hendelser og innvirkning
Nylig fikk NullBulge betydelig oppmerksomhet ved å lekke Disneys Slack-data og eiendeler fra DuckTales-serien. Dette høyprofilerte bruddet understreker løsepengevarens evne til å målrette mot store organisasjoner og forstyrre deres operasjoner. I tillegg er angriperne aktive på underjordiske fora, og selger stjålne data og OpenAI API-nøkler. Disse aktivitetene indikerer en bredere strategi for å tjene penger på deres nettkriminelle innsats utover bare løsepenger.
Virkningen av NullBulge og lignende ransomware-angrep kan være ødeleggende. Ofre står ofte overfor betydelig nedetid, tap av data og skade på omdømmet. Nødvendigheten av å betale løsepenger oppstår på grunn av vanskeligheten med å dekryptere filer uten angripernes verktøy, med mindre et tredjeparts dekrypteringsverktøy er tilgjengelig. Dette understreker viktigheten av forebyggende tiltak og effektive responsstrategier.
Det bredere ransomware-landskapet
Ransomware er fortsatt et populært verktøy blant nettkriminelle på grunn av potensialet til å generere betydelig fortjeneste. Varianter som Ursq , Qual og NordCrypters eksemplifiserer løsepengevare-truslers mangfoldige og utviklende natur. Disse ondsinnede programmene krypterer vanligvis ofrenes data og krever betaling for dekryptering. Ofre med pålitelig sikkerhetskopiering av data kan ofte gjenopprette filene sine uten å etterkomme angripernes krav. Derfor er regelmessige sikkerhetskopier av data lagret på eksterne servere eller offline-enheter avgjørende.
Forhindre ransomware-angrep
NullBulge Ransomwares primære mål inkluderer samfunn fokusert på AI-applikasjoner og spill. Ransomware sprer seg gjennom kompromitterte programvareforsyningskjeder, utnytter programvaresårbarheter, ondsinnede e-poster, infiserte USB-stasjoner og andre vektorer. For å beskytte mot slike angrep er det viktig å kun laste ned programvare fra offisielle kilder, unngå piratkopiert programvare og være forsiktig med e-postvedlegg og lenker fra ukjente avsendere.
I tillegg kan opprettholdelse av robuste nettsikkerhetspraksiser, som bruk av oppdatert antivirusprogramvare, implementering av brannmurer og opplæring av ansatte om phishing-angrep, redusere risikoen for infeksjon betydelig. Cyberhygienepraksis, inkludert regelmessige programvareoppdateringer og overvåking av nettverkstrafikk for uvanlig aktivitet, er avgjørende for å forsvare seg mot løsepengeprogramvare.
Derfor eksemplifiserer NullBulge løsepengevare det vedvarende og utviklende trusselbildet moderne organisasjoner står overfor, spesielt de i AI- og spillsektoren. Ved å forstå taktikken og vedta proaktive cybersikkerhetstiltak, kan bedrifter bedre beskytte seg mot denne og lignende trusler.
