Wygląda na to, że ransomware firmy Architects atakuje firmy

Podczas analizy nowych zgłoszeń nasz zespół badawczy natrafił na złośliwy program o nazwie Architects. Ten program należy do kategorii ransomware, rodzaju złośliwego oprogramowania, które szyfruje dane i żąda okupu za ich odszyfrowanie.

Na naszej maszynie testowej architekci pomyślnie zaszyfrowali pliki i zmienili ich nazwy, dodając rozszerzenie „.architects”. Na przykład plik o nazwie „1.jpg” stał się „1.jpg.architects”, a „2.png” został przekształcony w „2.png.architects” i tak dalej dla wszystkich plików, których dotyczy problem. Po zakończeniu procesu szyfrowania oprogramowanie ransomware wygenerowało wiadomość o nazwie „readme.txt”, żądając okupu.

Żądanie okupu pozostawione przez architektów informuje ofiarę o zaszyfrowaniu jej plików i ostrzega przed próbą użycia narzędzi deszyfrujących innych firm. Ponadto wiadomość twierdzi, że poufne informacje z systemu zostały wydobyte. Ofiara jest ponadto ostrzegana, że jeśli odmówi współpracy z atakującymi, skradzione treści zostaną ujawnione publicznie.

Listy żądań okupu firmy Architects Brak określonej kwoty okupu

Pełny tekst żądania okupu Architektów brzmi następująco:

Twoje serwery są ZABLOKOWANE. Nie próbuj używać innego oprogramowania.
Wrażliwe dane z Twojego systemu zostały pobrane i zostaną opublikowane, jeśli odmówisz współpracy.
Możesz skontaktować się z nami bezpośrednio, aby uzyskać dalsze instrukcje za pośrednictwem wiadomości e-mail:

sudorocky@tutanota.com
sudorocky@protonmail.com

W temacie wpisz swój PESEL (poniżej).

Informacje o odzyskiwaniu:
klucz: -
dowód osobisty: -

W jaki sposób Ransomware Like Architects jest dystrybuowane online?

Oprogramowanie ransomware, podobnie jak Architects, jest zwykle dystrybuowane online za pomocą różnych metod. Te techniki dystrybucji często wykorzystują luki w zabezpieczeniach ludzi, luki w zabezpieczeniach oprogramowania lub jedno i drugie. Oto kilka typowych sposobów dystrybucji oprogramowania ransomware, takiego jak Architects:

• E-maile phishingowe: Jedną z najbardziej rozpowszechnionych metod dystrybucji oprogramowania ransomware są e-maile phishingowe. Cyberprzestępcy wysyłają oszukańcze wiadomości e-mail, które wyglądają na prawdziwe i zawierają złośliwe łącza lub zainfekowane załączniki. Gdy użytkownicy klikają na te linki lub otwierają załączniki, ransomware jest uruchamiane w ich systemie.
• Złośliwe witryny i reklamy: Cyberprzestępcy mogą naruszyć legalne witryny lub tworzyć fałszywe witryny zawierające złośliwy kod. Użytkownicy odwiedzający te strony mogą nieświadomie pobrać ransomware na swoje urządzenia. Podobnie złośliwe reklamy (malvertising) na legalnych stronach internetowych mogą prowadzić użytkowników do złośliwych stron, na których dystrybuowane jest ransomware.
• Zestawy exploitów: oprogramowanie ransomware może być dystrybuowane za pośrednictwem zestawów exploitów, które są zestawami narzędzi wykorzystującymi znane luki w oprogramowaniu. Gdy użytkownicy odwiedzają zainfekowane lub złośliwe strony internetowe, te zestawy exploitów automatycznie wykrywają i wykorzystują podatne oprogramowanie do dostarczania oprogramowania ransomware.
• Ataki Remote Desktop Protocol (RDP): Cyberprzestępcy atakują usługi RDP ze słabymi hasłami lub lukami w zabezpieczeniach. Po uzyskaniu dostępu wdrażają oprogramowanie ransomware w zaatakowanych systemach.
• Drive-by downloads: w atakach typu drive-by download oprogramowanie ransomware jest automatycznie pobierane i instalowane na urządzeniu użytkownika, gdy odwiedza on zainfekowaną lub złośliwą witrynę internetową, bez jakiejkolwiek interakcji ze strony użytkownika lub jego świadomości.
• Złośliwe załączniki i łącza do wiadomości e-mail: ransomware może być dostarczane jako załączniki lub łącza w wiadomościach e-mail, które zachęcają użytkowników do ich pobrania lub otwarcia. Te wiadomości e-mail mogą podszywać się pod faktury, powiadomienia o wysyłce lub inne pozornie uzasadnione komunikaty.