ADMON Ransomware zablokuje twój system
Badając przesłane nowe pliki złośliwego oprogramowania, nasz zespół badaczy złośliwego oprogramowania natknął się na ransomware ADMON, które wykazuje charakterystyczne cechy. To ransomware szyfruje pliki i modyfikuje ich nazwy poprzez dodanie rozszerzenia ".ADMON". Ponadto pozostawia żądanie okupu oznaczone jako „RESTORE_FILES_INFO.txt”.
Na przykład plik pierwotnie nazwany „1.jpg” zostałby przekształcony w „1.jpg.ADMON”, podczas gdy „2.png” stałby się „2.png.ADMON” i tak dalej.
Żądanie okupu służy do poinformowania ofiar o skali ataku na ich sieć. Stwierdza, że ich komputery i serwery zostały zablokowane, a ich prywatne dane zostały wyeksfiltrowane przez atakujących. Skradzione dane obejmują różne typy, takie jak umowy, informacje o klientach, dane finansowe, dane kadrowe, bazy danych i inne.
Aby zmusić ofiary do spełnienia ich żądań, napastnicy grożą publicznym ujawnieniem wszystkich uzyskanych danych, chyba że ofiary nawiążą kontakt w ciągu trzech dni. Notatka kończy się instrukcją, jak dotrzeć do napastników i przedstawia korzyści, jakie otrzymają ofiary, jeśli się zastosują. Korzyści te obejmują pełne odszyfrowanie ich maszyn, usunięcie ich danych z serwerów atakujących, zalecenia dotyczące wzmocnienia obwodu ich sieci oraz zapewnienie całkowitej poufności incydentu.
ADMON używa zbyt długiego żądania okupu
Pełny tekst żądania okupu ADMON wygląda następująco:
Co się stało?
Twoja sieć została ZAATAKOWANA, twoje komputery i serwery zostały ZABLOKOWANE,
Twoje prywatne dane zostały POBRANE:
- Kontrakty
- Dane klientów
- Finanse
- HR
- Bazy danych
- I więcej innych…
Co to znaczy?
Oznacza to, że wkrótce środki masowego przekazu, Twoi partnerzy i klienci DOWIEDZĄ SIĘ o Twoim PROBLEMIE.
Jak można tego uniknąć?
Aby uniknąć tego problemu,
masz SKONTAKTOWAĆ SIĘ Z NAMI nie później niż w ciągu 3 DNI i zawrzeć UMOWĘ na odzyskanie danych i naprawę naruszeń.Co jeśli nie skontaktuję się z Tobą w ciągu 3 dni?
Jeśli nie skontaktujesz się z nami w ciągu najbliższych 3 DNI, rozpoczniemy publikację DANYCH.
Informacje o włamaniu do Twojej firmy opublikujemy na naszym Twitterze hxxps://twitter.com/RobinHoodLeaks lub hxxps://www.gettr.com/user/robinhoodleaks
WSZYSCY CLINCI DOWIEDZĄ SIĘ O TWOIM HAKOWANIU I WYCIEKU DANYCH!!! REPUTACJA TWOJEJ FIRMY BARDZO SZKODZI!Poradzę sobie sam
Masz do tego PRAWO, ale w tym przypadku wszystkie Twoje dane zostaną opublikowane do publicznego UŻYTKU.
Nie boję się twoich gróźb!
To nie jest zagrożenie, ale algorytm naszych działań.
Jeśli masz setki milionów NIECHCIANYCH dolarów, nie ma się czego LĘKAĆ.
To jest DOKŁADNA KWOTA pieniędzy, które wydasz na powrót do zdrowia i wypłaty z powodu PUBLIKACJI.
Narażasz się na ogromne kary z procesami sądowymi i rządem, jeśli oboje nie znajdziemy porozumienia.
Widzieliśmy to już w sprawach z wielomilionowymi kosztami w grzywnach i procesach sądowych,
nie wspominając już o reputacji firmy i utracie zaufania klientów oraz o nieustannych wołaniach mediów o odpowiedzi.Przekonałeś mnie!
Następnie musisz SKONTAKTOWAĆ SIĘ Z NAMI, istnieje kilka sposobów, aby to ZROBIĆ.
---Bezpieczna metoda---
a) Pobierz klienta qTOX: hxxps://tox.chat/download.html
b) Zainstaluj klienta qTOX i zarejestruj konto
c) Dodaj nasz identyfikator qTOX: 671263E7BC06103C77146A5ABB802A63 F53A42B4C4766329A5F04D2660C99A3611635CC36B3A
d) Napisz nam rozszerzenie swoich zaszyfrowanych plików .ADMONNasze WSPARCIE NA ŻYWO jest gotowe POMÓC CI na tym czacie.
Co otrzymam w przypadku zawarcia umowy
UZYSKASZ PEŁNE ODSZYFROWANIE swoich maszyn w sieci, USUNIĘCIE Twoich danych z naszych serwerów,
ZALECENIA dotyczące zabezpieczania granicy sieci.I PEŁNA POUFNOŚĆ INCYDENTU.
W jaki sposób ransomware, takie jak ADMON, jest dystrybuowane online?
Oto niektóre z najczęstszych metod dystrybucji oprogramowania ransomware, takiego jak ADMON:
- Wiadomości e-mail typu phishing: cyberprzestępcy wysyłają oszukańcze wiadomości e-mail, które wyglądają na prawdziwe, często podszywając się pod zaufane organizacje lub osoby. Te e-maile mogą zawierać złośliwe załączniki lub linki do stron internetowych hostujących oprogramowanie ransomware. Gdy użytkownicy wchodzą w interakcję z tymi elementami, ransomware jest pobierane i uruchamiane w ich systemach.
- Złośliwe strony internetowe: osoby atakujące mogą tworzyć złośliwe strony internetowe lub narażać legalne witryny w celu rozpowszechniania oprogramowania ransomware. Niczego niepodejrzewający użytkownicy mogą odwiedzać te witryny lub klikać złośliwe reklamy, co prowadzi do automatycznego pobrania i zainstalowania oprogramowania ransomware na ich urządzeniach.
- Zestawy exploitów: Cyberprzestępcy mogą wykorzystywać zestawy exploitów, które są narzędziami wykorzystującymi luki w oprogramowaniu lub systemach operacyjnych. Kiedy użytkownicy odwiedzają zainfekowane strony internetowe, zestaw exploitów skanuje ich system w poszukiwaniu luk w zabezpieczeniach i wdraża oprogramowanie ransomware, jeśli zostanie wykryta odpowiednia luka.
- Ataki protokołu RDP (Remote Desktop Protocol): ransomware może być również dystrybuowane poprzez wykorzystanie słabych lub słabo zabezpieczonych połączeń RDP. Atakujący mogą uzyskać nieautoryzowany dostęp do systemu za pośrednictwem protokołu RDP i ręcznie zainstalować oprogramowanie ransomware lub użyć zautomatyzowanych narzędzi do jego wdrożenia.
Należy zauważyć, że metody dystrybucji oprogramowania ransomware ewoluują w czasie, gdy cyberprzestępcy dostosowują swoją taktykę. Aby zachować ochronę, ważne jest utrzymywanie aktualnego oprogramowania zabezpieczającego, zachowanie ostrożności podczas otwierania załączników do wiadomości e-mail lub klikania w łącza, regularne aktualizowanie systemu operacyjnego i aplikacji oraz wdrażanie skutecznych praktyk bezpieczeństwa, takich jak stosowanie złożonych haseł i włączanie dwuskładnikowego uwierzytelnianie.