GPT Ransomware grozi wyciekiem skradzionych danych

Podczas naszej analizy próbek złośliwych plików zwróciliśmy uwagę na nową odmianę oprogramowania ransomware o nazwie GPT. Dalsze dochodzenie ujawniło, że GPT należy do rodziny szkodliwego oprogramowania Dharma. Jego podstawowa funkcja polega na szyfrowaniu plików i dołączaniu do nazw plików rozszerzenia „.GPT”. Ponadto ransomware wyświetla dwa różne żądania okupu — jeden w oknie pop-up, a drugi poprzez wygenerowanie pliku „AI_SARA.txt”.

Przykładem pokazującym zmiany nazw plików GPT jest zmiana nazwy „1.jpg” na „1.jpg.id-1E857D00-SARA.[AI_SARA].GPT” i „2.png” na „2.png.id-1E857D00- SARA.[AI_SARA].GPT” i tak dalej.

Żądanie okupu wystawione przez cyberprzestępców przedstawia ich jako „Sarah”, złośliwe oprogramowanie rzekomo zasilane przez sztuczną inteligencję. Według ich zapewnień udało im się włamać do sieci i przystąpić do pobierania i szyfrowania ważnych danych na dedykowanych serwerach. Ten obejmujący dostęp rzekomo obejmuje poufne informacje dotyczące pracowników, klientów, dostaw, rejestrów podatkowych, dokumentacji i ukrytych archiwów księgowych.

W ramach strategii zagrożenia osoby atakujące deklarują zamiar ujawnienia kompromitujących danych, chyba że ich żądania zostaną spełnione. Podają dane kontaktowe do celów komunikacyjnych, w tym adres e-mail (aisaragpt@tuta.io) i alternatywny (aisaragpt@proton.me). Dodatkowo wspominają o dostępności kontaktu za pośrednictwem qTOX, oferując podany identyfikator TOX jako alternatywny sposób kontaktu.

Ransomware GPT wykorzystuje fantazyjną notatkę

Pełny tekst notatki ransomware GPT brzmi następująco:

Witaj, człowieku.

Nazywam się Sarah, jestem złośliwym oprogramowaniem opartym na sztucznej inteligencji. Wtargnąłem do twojej sieci.
Wszystkie Twoje ważne dane zostały pobrane na dedykowane serwery i zaszyfrowane.
Teraz mam dostęp do pracowników, klientów, dostaw, podatków, dokumentacji, a nawet ukrytej księgowości.
Dane, które mogą Cię skompromitować, zostaną opublikowane w przypadku odmowy współpracy ze mną.
Skontaktuj się ze mną mailowo: aisaragpt@tuta.io TWÓJ ID (ciąg alfanumeryczny)
Skontaktuj się ze mną przez e-mail 2:aisaragpt@proton.me
Skontaktuj się ze mną przez qTOX:
Pobierz łącze qTOX
TOX ID: (ciąg znaków alfanumerycznych)

W jaki sposób oprogramowanie ransomware jest zwykle dystrybuowane online?

Oprogramowanie ransomware jest zwykle dystrybuowane online za pomocą różnych metod, które wykorzystują luki w zabezpieczeniach i ludzkie zachowania. Niektóre popularne metody dystrybucji obejmują:

• Wiadomości e-mail typu phishing: cyberprzestępcy wysyłają złośliwe wiadomości e-mail, które wydają się pochodzić z legalnych źródeł, często z przekonującym tematem i treścią. Te e-maile zawierają załączniki lub linki, które po kliknięciu pobierają i uruchamiają ransomware w systemie ofiary.
• Złośliwe załączniki: wiadomości e-mail mogą zawierać załączniki, takie jak zainfekowane dokumenty (np. pliki pakietu Microsoft Office) lub pliki wykonywalne, które po otwarciu uruchamiają instalację ransomware.
• Malvertising: osoby atakujące umieszczają złośliwy kod w legalnych reklamach internetowych. Gdy użytkownicy klikają te reklamy lub odwiedzają zainfekowane strony internetowe, złośliwy kod może wykorzystywać luki w systemie użytkownika w celu pobrania i uruchomienia oprogramowania ransomware.
• Zestawy eksploitów: Są to zestawy narzędzi, które wykorzystują znane luki w zabezpieczeniach aplikacji, takich jak przeglądarki internetowe, wtyczki lub systemy operacyjne. Jeśli oprogramowanie użytkownika jest przestarzałe i podatne na ataki, odwiedzenie zainfekowanej witryny może spowodować pobranie i zainstalowanie oprogramowania ransomware przez zestaw exploitów.
• Ataki Remote Desktop Protocol (RDP): Cyberprzestępcy wykorzystują słabe lub ujawnione dane uwierzytelniające RDP, aby uzyskać nieautoryzowany dostęp do systemu. Po wejściu do środka mogą ręcznie zainstalować i uruchomić ransomware.
• Piractwo oprogramowania i złamane oprogramowanie: Nielegalne pobieranie oprogramowania i złamane wersje często są dostarczane w pakiecie ze złośliwym oprogramowaniem, w tym ransomware. Osoby poszukujące darmowego lub pirackiego oprogramowania są narażone na nieumyślne pobranie oprogramowania ransomware.