NullBulge Ransomware: atakuje sektory sztucznej inteligencji i gier
Table of Contents
Zrozumienie oprogramowania ransomware NullBulge
NullBulge to rodzaj oprogramowania ransomware, które okazało się poważnym zagrożeniem, szczególnie atakującym podmioty AI i gry. To złośliwe oprogramowanie opiera się na LockBit , osławionej odmianie ransomware znanej ze swojej wydajności i niszczycielskiego wpływu. Podobnie jak inne oprogramowanie ransomware, NullBulge infiltruje systemy, szyfruje pliki i żąda okupu za ich odszyfrowanie. Tym, co wyróżnia NullBulge, jest specyficzne ukierunkowanie na sektory sztucznej inteligencji i gier, wykorzystujące zależności od platform takich jak GitHub i Hugging Face.
Gdy NullBulge infekuje system, dodaje losowe rozszerzenie do nazw plików, dzięki czemu staje się jasne, które pliki zostały zainfekowane. Na przykład nazwa pliku o nazwie „picture.png” może zostać zmieniona na „picture.png.7V7uPExzv”. To losowe rozszerzenie może się różnić w zależności od różnych infekcji. Oprócz zmiany nazw plików NullBulge modyfikuje tapetę pulpitu i upuszcza notatkę z żądaniem okupu zatytułowaną „[rozszerzenie].README.txt”.
List i żądania okupu
Żądanie okupu pozostawione przez NullBulge Ransomware jest proste, ale groźne. Informuje ofiary, że ich dane są zaszyfrowane i można je odzyskać jedynie płacąc atakującym w kryptowalucie Monero (XMR). W notatce podkreślono, że cyberprzestępcom zależy wyłącznie na korzyściach pieniężnych, a nie wpływach politycznych. Aby zachować swoją reputację, obiecują udostępnić narzędzia odszyfrowujące po zapłaceniu okupu. Notatka instruuje również ofiary, aby skontaktowały się z atakującymi za pośrednictwem TOR w celu uzyskania bezpłatnej próbki do odszyfrowania plików i ostrzega przed usuwaniem lub modyfikowaniem jakichkolwiek plików, ponieważ może to utrudnić odzyskanie.
Skoncentrowanie się na reputacji jest strategicznym posunięciem atakujących mającym na celu budowanie zaufania, aczkolwiek pod przymusem. Udostępniając bezpłatną próbkę do odszyfrowania, chcą pokazać ofiarom, że rzeczywiście mogą odszyfrować pliki, co zwiększa prawdopodobieństwo, że ofiary zapłacą okup.
Oto pełny tekst żądania okupu:
NULLBULGE LOCK - BASED ON LOCKBIT
Your data is encrypted… but dont freak out
If we encrypted you, you majorly f***ed up. But… all can be saved
But not for free, we require an xmr payment
What guarantees that we will not deceive you?We are not a politically motivated group and we do not need anything other than your money.
If you pay, we will provide you the programs for decryption.
Life is too short to be sad. Dont be sad money is only paper. Your files are more important than paper right?If we do not give you decrypter then nobody will pay us in the future.
To us, our reputation is very important. There is no dissatisfied victim after payment.You may contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID
Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.
Sometimes you will need to wait a whileLinks for Tor Browser:
hxxp://nullblgtk7dwzpfklgktzll27ovvnj7pvqkoprmhubnnb32qcbmcpgid.onion/Link for the normal browser
hxxp://group.goocasino.org
hxxps://nullbulge.comYour personal DECRYPTION ID: 217B9D5D58C4AD3C58695ABBA6C6AA0B
Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!
Modus Operandi NullBulge
Mechanizm dostarczania NullBulge polega na wykorzystaniu publicznie dostępnych repozytoriów na platformach takich jak GitHub i Hugging Face. Ofiary często nieświadomie importują złośliwe biblioteki, co prowadzi do infekcji. Podmioty zagrażające stojące za NullBulge wykorzystują narzędzia takie jak Async RAT i XWorm do dostarczania ładunków oprogramowania ransomware. Narzędzia te umożliwiają im uzyskanie zdalnego dostępu i kontroli nad systemami ofiary, ułatwiając proces szyfrowania.
Co ciekawe, cyberprzestępcy stojący za NullBulge podają się za haktywistów. Twierdzą, że ich ataki są formą protestu przeciwko sztucznej inteligencji, mającą na celu ochronę artystów i twórców. Narracja ta nie zmienia jednak faktu, że ich głównym motywem jest zysk finansowy, o czym świadczy żądanie okupu w kryptowalutach.
Godne uwagi wydarzenia i skutki
Niedawno firma NullBulge zyskała znaczną uwagę, wyciekając dane i zasoby Disneya na platformie Slack z serii DuckTales. To głośne naruszenie podkreśla zdolność oprogramowania ransomware do atakowania dużych organizacji i zakłócania ich działalności. Ponadto napastnicy działają na nielegalnych forach, sprzedając skradzione dane i klucze API OpenAI. Działania te wskazują na szerszą strategię zarabiania na swoich działaniach cyberprzestępczych, wykraczającą poza zwykłe zapłatę okupu.
Wpływ NullBulge i podobnych ataków ransomware może być niszczycielski. Ofiary często borykają się z poważnymi przestojami, utratą danych i utratą reputacji. Konieczność zapłaty okupu wynika z trudności w odszyfrowaniu plików bez użycia narzędzi atakującego, chyba że dostępne jest narzędzie deszyfrujące innej firmy. Podkreśla to znaczenie środków zapobiegawczych i skutecznych strategii reagowania.
Szerszy krajobraz oprogramowania ransomware
Ransomware pozostaje popularnym narzędziem wśród cyberprzestępców ze względu na jego potencjał generowania znacznych zysków. Warianty takie jak Ursq , Qual i NordCrypters ilustrują różnorodną i ewoluującą naturę zagrożeń ransomware. Te złośliwe programy zazwyczaj szyfrują dane ofiar i żądają zapłaty za odszyfrowanie. Ofiary posiadające niezawodne kopie zapasowe danych często mogą odzyskać swoje pliki, nie spełniając żądań atakujących. Dlatego regularne tworzenie kopii zapasowych danych przechowywanych na zdalnych serwerach lub urządzeniach offline jest kluczowe.
Zapobieganie atakom ransomware
Głównymi celami NullBulge Ransomware są społeczności skupione na aplikacjach AI i grach. Ransomware rozprzestrzenia się poprzez zainfekowane łańcuchy dostaw oprogramowania, wykorzystując luki w zabezpieczeniach oprogramowania, złośliwe wiadomości e-mail, zainfekowane dyski USB i inne wektory. Aby chronić się przed takimi atakami, należy pobierać oprogramowanie wyłącznie z oficjalnych źródeł, unikać pirackiego oprogramowania i zachować ostrożność w przypadku załączników do wiadomości e-mail i łączy od nieznanych nadawców.
Ponadto przestrzeganie solidnych praktyk w zakresie cyberbezpieczeństwa, takich jak stosowanie zaktualizowanego oprogramowania antywirusowego, wdrażanie zapór sieciowych i edukacja pracowników na temat ataków phishingowych, może znacznie zmniejszyć ryzyko infekcji. Praktyki higieny cybernetycznej, w tym regularne aktualizacje oprogramowania i monitorowanie ruchu sieciowego pod kątem nietypowej aktywności, mają kluczowe znaczenie w obronie przed oprogramowaniem ransomware.
Dlatego oprogramowanie ransomware NullBulge stanowi przykład trwałego i ewoluującego krajobrazu zagrożeń, przed którymi stoją współczesne organizacje, zwłaszcza te z sektorów sztucznej inteligencji i gier. Rozumiejąc jego taktykę i przyjmując proaktywne środki cyberbezpieczeństwa, firmy mogą lepiej chronić się przed tym i podobnymi zagrożeniami.
