TUGA Ransomware używa zwięzłego żądania okupu

Nasz zespół badawczy natrafił na nową formę oprogramowania ransomware o nazwie TUGA. To złośliwe oprogramowanie szyfruje pliki, dodając swoje odrębne rozszerzenie (".TUGA") do oryginalnych nazw plików. Dodatkowo pozostawia żądanie okupu o nazwie "README.txt", aby poinformować ofiary o kompromitacji. Odkrycie TUGA nastąpiło podczas analizy różnych nowych próbek szkodliwego oprogramowania. Godną uwagi cechą TUGA jest proces zmiany nazw plików, w którym modyfikuje nazwy plików, dodając do nich „.TUGA”. Na przykład plik o nazwie „1.jpg” zostanie zmieniony na „2.jpg.TUGA”, a „2.png” na „2.png.TUGA” i tak dalej.

Żądanie okupu pozostawione przez firmę TUGA służy jako powiadomienie dla poszkodowanych osób, ostrzegające je o naruszeniu bezpieczeństwa. W notatce hakerzy podają link do kanału Telegram „t.me/hell2cat” jako środek komunikacji. Żądają zapłaty 1000 dolarów w zamian za klucz deszyfrujący niezbędny do odzyskania dostępu do zaszyfrowanych plików.

Żądanie okupu TUGA prosi o zapłatę w wysokości 1000 USD

Bardzo krótki tekst notatki ransomware TUGA brzmi następująco:

Zostałeś zhakowany
t.me/hell2cat
Zapłać mi 1000 $, a dam ci klucz deszyfrujący!
Albo dołączysz do listy sieci terrorystycznej :C

Śmieszny ton sugeruje, że operator oprogramowania ransomware może być bardziej dzieciakiem ze scenariusza, a mniej prawdziwym aktorem zagrażającym.

W jaki sposób ransomware może zainfekować Twój system?

Ransomware może przeniknąć do twojego systemu różnymi metodami, często wykorzystując luki w zabezpieczeniach lub wykorzystując oszukańcze taktyki. Oto kilka typowych sposobów, w jakie oprogramowanie ransomware może zainfekować Twój system:

• E-maile phishingowe: Jedną z powszechnych metod są e-maile phishingowe. Atakujący wysyłają złośliwe wiadomości e-mail, które wyglądają na wiarygodne, nakłaniając odbiorców do kliknięcia zainfekowanych załączników lub złośliwych łączy. Po kliknięciu oprogramowanie ransomware jest pobierane i uruchamiane w systemie.
• Złośliwe strony internetowe i pliki do pobrania: Odwiedzanie zainfekowanych stron internetowych lub pobieranie plików z niezaufanych źródeł może prowadzić do infekcji ransomware. Osoby atakujące mogą osadzać złośliwy kod lub zainfekowane pliki w tych witrynach lub ukrywać złośliwe oprogramowanie jako legalne oprogramowanie.
• Wykorzystywanie luk w oprogramowaniu: Ransomware może wykorzystywać luki w zabezpieczeniach aplikacji lub systemów operacyjnych. Jeśli nie zastosowałeś niezbędnych poprawek lub aktualizacji zabezpieczeń, osoby atakujące mogą wykorzystać te słabości, aby uzyskać nieautoryzowany dostęp i zainstalować oprogramowanie ransomware.
• Malvertising: osoby atakujące mogą wykorzystywać złośliwe reklamy (malvertising) na legalnych stronach internetowych w celu dystrybucji oprogramowania ransomware. Reklamy te mogą zawierać kod, który automatycznie pobiera i uruchamia ransomware po kliknięciu lub nawet bez interakcji użytkownika.
• Ataki Remote Desktop Protocol (RDP): Jeśli w systemie jest włączony protokół Remote Desktop Protocol ze słabymi lub domyślnymi poświadczeniami, cyberprzestępcy mogą użyć ataków siłowych, aby uzyskać nieautoryzowany dostęp. Po wejściu do środka mogą wdrażać ransomware i szyfrować pliki.
• Drive-by Downloads: Ransomware może być dostarczane poprzez drive-by downloads, gdzie złośliwe oprogramowanie jest automatycznie pobierane i uruchamiane, gdy odwiedzasz zainfekowane strony internetowe lub klikasz zainfekowane reklamy.
• Złośliwe sieci udostępniania plików: Pobieranie plików z sieci peer-to-peer (P2P) lub sieci udostępniania plików może narazić Cię na oprogramowanie ransomware. Cyberprzestępcy często ukrywają ransomware w pozornie nieszkodliwych plikach udostępnianych na tych platformach.
• Urządzenia USB i pamięć zewnętrzna: Podłączenie do systemu zainfekowanych urządzeń USB lub zewnętrznych nośników pamięci, takich jak zewnętrzne dyski twarde lub pendrive'y, może spowodować wprowadzenie oprogramowania wymuszającego okup. Może rozprzestrzeniać się poprzez funkcje automatycznego uruchamiania lub nakłaniając użytkowników do uruchamiania złośliwych plików.

Aby chronić swój system przed oprogramowaniem ransomware, należy przestrzegać najlepszych praktyk bezpieczeństwa, takich jak aktualizowanie oprogramowania i systemu operacyjnego, zachowanie ostrożności podczas klikania łączy lub otwierania załączników w wiadomościach e-mail, korzystanie z niezawodnego oprogramowania zabezpieczającego, regularne tworzenie kopii zapasowych ważnych plików i zachowywać czujność w przypadku podejrzanych działań w Internecie.