Trash Panda Ransomware viser uvanlig løsepengenotat

Under vår rutinemessige undersøkelse av nyere filinnsendinger, snublet vår forskningsgruppe over ransomwarevarianten Trash Panda. Denne spesielle ondsinnede programvaren ble oppdaget som en del av vår kontinuerlige innsats for å undersøke nye trusler.

Etter å ha kjørt en prøve av Trash Panda i vårt kontrollerte testmiljø, startet programmet umiddelbart sin datakrypteringsrutine. Som et resultat ble filnavnene endret med tillegg av utvidelsen ".monochrome". For eksempel ble en fil kalt "1.jpg" raskt forvandlet til "1.jpg.monokrom", mens "2.png" ble "2.png.monokrom" og så videre. Så snart denne krypteringsprosessen nådde sin konklusjon, ble det generert en medfølgende løsepenge merket "[random_string]-readme.html".

Løseseddelen brukt av Trash Panda formidler den urovekkende beskjeden om at offerets filer er sikkert kryptert. Notatet fortsetter med å gå inn for å nå ut til de ondsinnede aktørene bak angrepet for å starte gjenopprettingsprosessen for de kompromitterte dataene. En avgjørende advarsel er inkludert, som understreker at unnlatelse av å etablere kontakt med nettkriminelle før nedtellingsklokken når null vil resultere i permanent sletting av dekrypteringsnøkkelen, noe som effektivt gjør alle forsøk på datagjenoppretting meningsløse.

Papirkurv Panda løsepengenotat henspiller på militær konflikt

Den fullstendige teksten til Trash Panda-ransomware bruker leet-speak, erstatter bokstaver med tall, og refererer til en slags væpnet konflikt uten å nevne noe spesifikt. Notatet lyder som følger:

Team Trash Panda var her

Alle filene dine har blitt kastet av vår

7r45H P4ND4 Asomeware

La oss lage en D341. Du frigjør folket vårt. Vi frigjør dataene dine.

Ikke prøv å gjenopprette noen fil. Alle filene ble kastet ved hjelp av en svært avansert krypteringsstandard etablert av US National Institute of Standards and Technology (NIST). Du kan sjekke følgende lenke for å finne ut hvordan filene dine ble kastet. hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Vi bryr oss ikke om dataene dine. Vi bryr oss ikke om penger. Vi vil at familien vår skal komme tilbake til oss og at DU KOMMER UT AV FEDRELANDET VÅRT.

Å, forresten, du har begrenset tid til å ta avgjørelser. Vi vil slette hovednøkkelen etter at nedtellingsklokken utløper. Skynd deg ~ Skynd deg ~

DIN NØKKEL BLIR SLETTET ETTER
(nedtellingsklokke)

Du kan kontakte oss på -

Hvis du vil ha filene tilbake, legg inn følgende nøkkel i inndataskjemaet. Vi kontakter deg senere

Hvordan distribueres ransomware som søppelpanda på nettet?

Distribusjonen av løsepengevare som Trash Panda involverer vanligvis en rekke taktikker og teknikker designet for å utnytte sårbarheter, brukeratferd og teknologiske svakheter. Selv om jeg ikke har spesifikk informasjon om distribusjonsmetodene til «Trash Panda» siden min kunnskapsgrense er i september 2021, kan jeg gi deg generell innsikt i hvordan løsepengeprogramvare vanligvis distribueres:

• Phishing-e-poster: Nettkriminelle sender ofte overbevisende e-poster som ser ut til å være fra legitime kilder, som inneholder ondsinnede vedlegg eller lenker. Når brukere samhandler med disse vedleggene eller koblingene, lastes løsepengevarelasten ned og kjøres på systemet deres.
• Malvertising: Ondsinnede annonser på nettsteder eller annonsenettverk kan føre brukere til nettsteder som er vert for løsepengeprogramvare. Bare å besøke et kompromittert nettsted kan utløse nedlasting av løsepengevaren til offerets datamaskin.
• Drive-By-nedlastinger: Nettkriminelle kan utnytte sårbarheter i programvare, plugins eller nettleserkomponenter for å levere løsepengevare til en brukers system uten brukerinteraksjon. Dette er kjent som en drive-by-nedlasting.
• Kompromitterte programvareinstallatører: Angripere kan infiltrere legitime programvareinstallatører og legge til løsepengelasten. Når brukere laster ned og installerer programvaren fra kompromitterte kilder, blir løsepengevaren også installert.
• Remote Desktop Protocol (RDP)-angrep: Angripere kan målrette mot systemer med svake eller ubeskyttede RDP-forbindelser. De får tilgang og installerer løsepengevare manuelt, eller bruker automatiserte verktøy for å levere løsepengevare.
• Ondsinnede makroer: Ondsinnede makroer innebygd i Microsoft Office-dokumenter kan brukes til å laste ned og kjøre løsepengeprogramvare når brukere aktiverer makroer i disse dokumentene.