Backoff Ransomware zmienia tapetę systemową

Nasz zespół badawczy zidentyfikował oprogramowanie ransomware Backoff podczas badania nowych próbek plików. To złośliwe oprogramowanie należy do rodziny ransomware Chaos – rodzaju złośliwego oprogramowania znanego z szyfrowania danych i żądania okupu za ich odszyfrowanie.

Backoff szyfruje pliki i dodaje do ich nazw rozszerzenie „.backoff”. Na przykład oryginalny plik o nazwie „1.jpg” stał się „1.jpg.backoff”, a plik „2.png” został przekształcony w „2.png.backoff” i tak dalej. Ponadto ransomware zmienia tapetę pulpitu i generuje notatkę z żądaniem okupu o nazwie „read_it.txt”.

Zgodnie z wiadomością Backoffa oprogramowanie ransomware zostało rzekomo wypuszczone w celach testowych. Warto zauważyć, że w notatce brakuje instrukcji dotyczących odszyfrowania lub zapłaty okupu, ale zawiera dane kontaktowe atakujących. Z notatki wynika, że autor ransomware wie, że zostanie ono sprawdzone w systemie testowym, zatem jest to prawdopodobnie bardzo wczesna wersja, która jest wciąż w fazie aktywnego rozwoju.

Notatka o okupie zwrotnym jest krótka

Pełny tekst bardzo krótkiego żądania okupu sporządzonego przez Backoffa brzmi następująco:

Good Afternoon.
Since you are being a pain and trying to grab my files and be nosey, here is a little treat.

Im testing stuff just as you are.

Care to chat. My tele is
@anontsugumi

W jaki sposób oprogramowanie ransomware może rozprzestrzeniać się w Internecie?

Ransomware może rozprzestrzeniać się w Internecie różnymi metodami, wykorzystując luki w zabezpieczeniach i ludzkie zachowania. Oto kilka typowych sposobów:

E-maile phishingowe: Cyberprzestępcy często wykorzystują e-maile phishingowe do dystrybucji oprogramowania ransomware. Te e-maile zawierają złośliwe załączniki lub łącza, których kliknięcie może spowodować pobranie i uruchomienie oprogramowania ransomware w systemie ofiary.

Złośliwe witryny internetowe i pliki do pobrania: odwiedzanie zainfekowanych lub złośliwych witryn internetowych może narazić użytkowników na pobieranie typu drive-by, podczas którego złośliwe oprogramowanie, w tym oprogramowanie ransomware, jest automatycznie pobierane i uruchamiane na komputerze użytkownika bez jego wiedzy.

Zestawy exploitów: Cyberprzestępcy mogą wykorzystywać zestawy exploitów, których celem są luki w zabezpieczeniach oprogramowania i systemów operacyjnych. Jeśli system użytkownika nie zostanie odpowiednio załatany lub zaktualizowany, zestawy te mogą wykorzystać luki w zabezpieczeniach w celu zainstalowania oprogramowania ransomware.

Złośliwe reklamy: złośliwe reklamy, czyli złośliwe reklamy, polegają na umieszczaniu złośliwego kodu w reklamach internetowych. Użytkownicy, którzy klikną te reklamy, mogą nieświadomie pobrać oprogramowanie ransomware na swoje systemy.

Pobieranie dyskowe: oprogramowanie ransomware może być dostarczane poprzez pobieranie dyskowe, podczas którego złośliwe oprogramowanie jest automatycznie pobierane i instalowane, gdy użytkownik odwiedza zaatakowaną lub złośliwą witrynę internetową. Może się to zdarzyć bez konieczności podejmowania jakichkolwiek działań przez użytkownika.

Exploity protokołu Remote Desktop Protocol (RDP): osoby atakujące mogą wykorzystać luki w zabezpieczeniach protokołu Remote Desktop Protocol (RDP), aby uzyskać nieautoryzowany dostęp do systemu. Po wejściu do środka mogą wdrożyć oprogramowanie ransomware.

Inżynieria społeczna: Cyberprzestępcy wykorzystują techniki inżynierii społecznej, aby nakłonić osoby do pobrania złośliwych plików lub kliknięcia łączy. Może to nastąpić poprzez fałszywe aktualizacje oprogramowania, fałszywe powiadomienia lub kuszące oferty.

Ataki Watering Hole: Podczas ataków Watering Hole cyberprzestępcy atakują witryny często odwiedzane przez docelowych odbiorców. Gdy użytkownicy odwiedzają te zainfekowane witryny, mogą nieświadomie pobrać oprogramowanie ransomware.