Orion Hackers Ransomware: Kolejne zagrożenie szyfrowania na liście
Table of Contents
Niebezpieczny szczep z LockBit 3.0 Początki
Orion Hackers Ransomware to program szyfrujący dane pochodzący z LockBit 3.0 (znanego również jako LockBit Black). To zagrożenie jest zaprojektowane tak, aby blokować pliki ofiar i zmuszać je do płacenia za ich przywrócenie. Po infiltracji systemu Orion Hackers natychmiast zaczyna szyfrować pliki i dodaje losowy ciąg do nazw plików, czyniąc je niedostępnymi.
Po zaszyfrowaniu atakujący zostawiają na pulpicie ofiary notatkę z żądaniem okupu zatytułowaną „[random_string].README.txt”. Ponadto tapeta pulpitu jest zmieniana, co służy jako wizualne przypomnienie ataku. Wiadomość z żądaniem okupu stwierdza, że doszło zarówno do szyfrowania, jak i kradzieży danych, podkreślając, że niespełnienie żądania okupu doprowadzi do wycieku poufnych plików.
Grożenie ofiarom wyciekami danych i powtarzającymi się atakami
Notatka o okupie wykracza poza żądanie zapłaty za odszyfrowanie. Operatorzy Orion Hackers grożą ujawnieniem zagrożonych plików, jeśli ofiary odmówią podporządkowania się. Ostrzegają również, że każda próba modyfikacji lub usunięcia zaszyfrowanych danych może skutkować trwałą utratą. Jako demonstrację swoich możliwości atakujący oferują odszyfrowanie jednego pliku za darmo, próbując wmówić ofiarom, że zapłacenie okupu jest jedynym sposobem na odzyskanie dostępu do ich danych.
Ponadto wiadomość o okupie sugeruje, że brak zapłaty może doprowadzić do dodatkowych cyberataków na docelową organizację. Ma to na celu stworzenie poczucia pilności i strachu, wywierając presję na ofiary, aby podjęły pochopną decyzję.
Sprawdź, co jest napisane w liście z żądaniem okupu:
Your System Hacked By Orion Hackers!
>>>> Your data are stolen and encrypted
The data will be published on TOR website if you do not pay the ransom
>>>> What guarantees that we will not deceive you?
We are not a politically motivated group and we do not need anything other than your money.
If you pay, we will provide you the programs for decryption and we will delete your data.
Life is too short to be sad. Be not sad, money, it is only paper.
If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future.
Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.
>>>> You need contact us and decrypt one file for free on these tox id =32C12B278912E26E5EAC57AEBB3F4FF16F0E31603C7B9D46AC02E9D993EE14351CEC3AB5945C with your personal DECRYPTION ID
Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.
Sometimes you will need to wait for our answer because we attack many companies.
Links for Tor Browser:
hxxps://utox.org/
hxxps://utox.org/uTox_win64.exe
If you do not get an answer in the chat room for a long time, the site does not work and in any other emergency, you can contact us in jabber or tox.
Tox ID : 6F902E0A889E60D47FB305E2EE4B72926A4A68297F2364285E2CB005DE53B377F76934FF16AB
>>>> Your personal DECRYPTION ID: -
>>>> Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!
>>>> Warning! If you do not pay the ransom we will attack your company repeatedly again!
Zapłacenie okupu: ryzykowna gra
Chociaż Orion Hackers obiecuje odszyfrować pliki po dokonaniu płatności, nikt nie może zagwarantować, że dotrzymają słowa. Wielu cyberprzestępców nie dostarcza kluczy deszyfrujących nawet po otrzymaniu płatności, pozostawiając ofiary bez pieniędzy i danych. Ponadto zapłacenie okupu jedynie napędza przyszłe ataki, zachęcając hakerów do kontynuowania swoich działań.
W większości przypadków odszyfrowanie plików bez współpracy atakujących jest niezwykle trudne. O ile ransomware nie ma znaczących wad w algorytmie szyfrowania, przywrócenie danych bez kopii zapasowej jest często niemożliwe. Dlatego organizacje i osoby prywatne są zachęcane do utrzymywania bezpiecznych kopii zapasowych w wielu lokalizacjach, aby upewnić się, że nie zostaną pozostawione na łasce operatorów ransomware.
Natura oprogramowania ransomware: jak ono działa
Ransomware działa poprzez szyfrowanie plików przy użyciu kryptografii symetrycznej lub asymetrycznej. Szyfrowanie symetryczne wykorzystuje jeden klucz zarówno do szyfrowania, jak i deszyfrowania, podczas gdy szyfrowanie asymetryczne obejmuje klucz publiczny do szyfrowania i klucz prywatny do deszyfrowania. Ta ostatnia metoda jest szczególnie skuteczna w przypadku cyberprzestępców, ponieważ ofiary nie mogą odszyfrować swoich plików bez dostępu do klucza prywatnego, który pozostaje w rękach atakujących.
Ponadto kwoty okupu mogą się znacznie różnić w zależności od celu. Podczas gdy użytkownicy domowi mogą stawić czoła niższym żądaniom okupu, duże korporacje i podmioty rządowe często otrzymują wygórowane żądania zapłaty, czasami sięgające sześciu, a nawet siedmiu cyfr.
Taktyki dystrybucji stojące za oprogramowaniem ransomware Orion Hackers
Cyberprzestępcy rozsyłają ransomware za pomocą wielu wektorów ataku, co sprawia, że użytkownicy muszą zachować ostrożność w Internecie. Jedną z najczęstszych metod jest phishing, w którym atakujący maskują złośliwe załączniki lub linki jako legalne pliki w wiadomościach e-mail, wiadomościach bezpośrednich lub SMS-ach. Nieświadomi użytkownicy, którzy otwierają te pliki, nieświadomie wywołują infekcję ransomware.
Hakerzy Orion mogą również rozprzestrzeniać się za pośrednictwem luk w zabezpieczeniach oprogramowania, pobierania plików w trybie drive-by i złośliwych reklam online (malvertising). W niektórych przypadkach atakujący osadzają ransomware w pirackim oprogramowaniu, fałszywych aktualizacjach oprogramowania lub nielegalnych narzędziach aktywacyjnych, oszukując użytkowników, aby zainstalowali zagrożenie na swoich urządzeniach. Niektóre odmiany ransomware mają nawet zdolność do samorozprzestrzeniania się, co pozwala im rozprzestrzeniać się za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej.
Wzmocnienie obrony przed atakami ransomware
Użytkownicy muszą przyjąć proaktywne środki bezpieczeństwa, aby zminimalizować ryzyko infekcji Orion Hackers. Obejmuje to unikanie podejrzanych wiadomości e-mail, niezweryfikowanych pobrań i nieautoryzowanych źródeł oprogramowania. Ponadto włączenie uwierzytelniania wieloskładnikowego (MFA) na kontach, aktualizowanie oprogramowania i stosowanie bezpiecznych praktyk dotyczących haseł może pomóc zmniejszyć podatność na ataki.
Regularne tworzenie kopii zapasowych danych jest również niezbędne. Przechowywanie kopii zapasowych w wielu bezpiecznych lokalizacjach — takich jak dyski twarde offline lub pamięć masowa w chmurze — zapewnia możliwość odzyskania ważnych plików nawet w przypadku ataku ransomware. Organizacje powinny również wdrożyć segmentację sieci i ograniczyć uprawnienia użytkowników, aby ograniczyć potencjalne szkody spowodowane infekcją ransomware.
Podsumowanie
Ransomware wciąż ewoluuje, a atakujący udoskonalają swoje taktyki, aby wykorzystywać nowe luki i wywierać presję na ofiary, aby przestrzegały zasad. Orion Hackers pokazuje, jak cyberprzestępcy łączą szyfrowanie z kradzieżą danych, aby zwiększyć swoją przewagę nad ofiarami. Jednak świadomość i gotowość mogą pomóc osobom fizycznym i firmom złagodzić ryzyko związane z tymi atakami.
Zamiast ulegać żądaniom okupu, ofiary powinny skupić się na usuwaniu ransomware ze swoich systemów i przywracaniu plików z bezpiecznych kopii zapasowych. Dzięki pozostawaniu poinformowanym i utrzymywaniu silnych praktyk cyberbezpieczeństwa użytkownicy mogą lepiej chronić się przed rosnącym zagrożeniem ransomware.
