Ransomware Bl00dyAdmin grozi wyciekiem danych

Analizując nowe próbki złośliwego oprogramowania, zidentyfikowaliśmy wariant oprogramowania ransomware o nazwie Bl00dyAdmin. To złośliwe oprogramowanie szyfruje dane i zmienia nazwy zaszyfrowanych plików poprzez dodanie rozszerzenia „.CRYPT”. Dodatkowo Bl00dyAdmin generuje plik o nazwie „Read_instructions_To_Decrypt.txt”, który zawiera instrukcje dotyczące dokonania płatności okupu.

Przykład zmiany nazw plików Bl00dyAdmina polega na przekształceniu „1.jpg” w „1.jpg.CRYPT”, „2.png” w „2.png.CRYPT” i tak dalej. W żądaniu okupu stwierdza się, że wszystkie pliki na serwerach organizacji i połączonych ze sobą urządzeniach zostały zaszyfrowane, co sygnalizuje potencjalne naruszenie lub włamanie do sieci. W notatce opisano proces rozwiązywania problemów, który obejmuje pozyskanie od osób atakujących oprogramowania deszyfrującego. Kwota okupu nie jest określona, ale stwierdzono, że będzie ona rosła o 1000 dolarów co 24 godziny, co podkreśla potrzebę szybkiego działania w ciągu 72 godzin.

Ponadto w notatce znajdują się informacje kontaktowe za pośrednictwem poczty elektronicznej (bl00dyadmin@dnmx.org) oraz aplikacji do czatu Tox. Zawiera instrukcje dotyczące uzyskania oprogramowania deszyfrującego wraz z ofertą demonstracyjną umożliwiającą bezpłatne odszyfrowanie trzech plików w celu sprawdzenia jego skuteczności. Jednakże w notatce zawarto również poważne ostrzeżenia dotyczące poważnych konsekwencji nieprzestrzegania przepisów, w tym groźby ujawnienia skradzionych danych.

Pełna treść żądania okupu Bl00dyAdmin

Pełny tekst żądania okupu Bl00dyAdmin brzmi następująco:

Hello
We are a team of high-level competent team of Pentesters but NOT a THREAT to your reputable organization
We secure networks of companies to avoid complete destruction and damages to companies
We encrypted all files on Your servers to show sign of breach / network intrusion
To resolve this Continue reading !!!!

ALL files oN Your Entire Network Servers and Connected Devices are Encrypted.
Means , Files are modified and are not usable at the moment.
Don't Panic !!!
All Encrypted files can be reversed to original form and become usable .
This is Only Possible if you buy the universal Decryption software from me.
Price for universal Decryption Software : $ Contact us either through email or tox chat app for the ransom price $
You Have 72 hours To Make Payment As Price of Universal Decryption software increases by $1000 dollars every 24 hours.
Contact on this email: bl00dyadmin@dnmx.org
copy email address and write message to bl00dyadmin@dnmx.org
You can write me on tox:
Download tox app from hxxps://tox.chat
Create new Account ..
Send me friend request using my tox id:
E5BBFAD2DB3FB497EA03612B2428F927FD8 A9B3333D524FD51D43B029B7870571CEB0166CB03
copy and paste it as it is
Before You Pay me … I will Decrypt 3 files for free To proof the universal Decryption software works
Failure to Pay Me :
Kindly RESPECT my Rules
Note: Huge amounts of Data / documents has been stolen from your Network servers and will be published online for free
I have stolen All Your Databases ; DAta on your shared drives ; AD users Emails(Good for Spam) ;
i have stolen huge amount of critical data from your servers

I keep the breach private only if your cooperate

W jaki sposób oprogramowanie ransomware może zainfekować Twój system?

Oprogramowanie ransomware może zainfekować system na różne sposoby, a napastnicy często stosują wyrafinowane taktyki w celu wykorzystania luk w zabezpieczeniach. Oto kilka typowych sposobów, w jakie oprogramowanie ransomware może przedostać się do systemu:

E-maile phishingowe: osoby atakujące często wykorzystują e-maile phishingowe do dostarczania oprogramowania ransomware. Te e-maile mogą zawierać złośliwe załączniki lub łącza, których kliknięcie inicjuje pobieranie i wykonanie oprogramowania ransomware. E-maile mogą sprawiać wrażenie prawdziwych, często podszywając się pod renomowane podmioty i mogą zawierać pilne lub kuszące wiadomości, zachęcające odbiorcę do podjęcia działań.

Złośliwe witryny internetowe: odwiedzanie zainfekowanych lub złośliwych witryn internetowych może narazić system na oprogramowanie ransomware. Może to nastąpić poprzez pobieranie dyskowe lub zachęcanie użytkowników do kliknięcia pozornie nieszkodliwej zawartości, która w rzeczywistości zawiera złośliwe ładunki.

Złośliwe reklamy: cyberprzestępcy mogą naruszać sieci reklamowe online w celu rozpowszechniania złośliwych reklam. Użytkownicy, którzy klikną te reklamy, mogą nieświadomie pobrać oprogramowanie ransomware na swoje systemy. Ta metoda jest znana jako malvertising.

Wykorzystywanie luk w oprogramowaniu: Ransomware może wykorzystywać luki w oprogramowaniu, systemach operacyjnych lub aplikacjach. Cyberprzestępcy aktywnie wyszukują i wykorzystują słabe punkty bezpieczeństwa, a jeśli system nie zostanie szybko zaktualizowany o najnowsze poprawki bezpieczeństwa, staje się podatny na ataki oprogramowania typu ransomware.

Ataki na protokół Remote Desktop Protocol (RDP): jeśli usługi pulpitu zdalnego są błędnie skonfigurowane lub zabezpieczone słabymi poświadczeniami, osoby atakujące mogą użyć brutalnej siły lub innych metod w celu uzyskania nieautoryzowanego dostępu. Po wejściu do środka mogą wdrożyć oprogramowanie ransomware w zaatakowanym systemie lub sieci.

Pobieranie typu drive-by: oprogramowanie ransomware może być dostarczane poprzez pobieranie typu drive-by, podczas którego złośliwy kod jest automatycznie pobierany i wykonywany, gdy użytkownik odwiedza zaatakowaną lub złośliwą witrynę internetową, często bez jakiejkolwiek interakcji lub świadomości użytkownika.

Zainfekowane instalatory oprogramowania: Cyberprzestępcy mogą naruszyć legalne instalatory oprogramowania, wstrzykiwając do nich oprogramowanie ransomware. Użytkownicy, którzy nieświadomie pobiorą i zainstalują te zainfekowane aplikacje, mogą nieumyślnie wprowadzić oprogramowanie ransomware do swoich systemów.