Orion Hackers Ransomware: Outra ameaça de criptografia no bloco
Table of Contents
Uma cepa perigosa com as origens do LockBit 3.0
Orion Hackers Ransomware é um programa de criptografia de dados derivado do LockBit 3.0 (também conhecido como LockBit Black). Essa ameaça é projetada para bloquear os arquivos das vítimas e coagi-las a pagar pela restauração. Depois que ele se infiltra em um sistema, o Orion Hackers imediatamente começa a criptografar os arquivos e anexa uma sequência aleatória aos nomes dos arquivos, tornando-os inacessíveis.
Após a criptografia, os invasores deixam uma nota de resgate intitulada "[random_string].README.txt" na área de trabalho da vítima. Além disso, o papel de parede da área de trabalho é alterado, servindo como um lembrete visual do ataque. A mensagem de resgate afirma que tanto a criptografia quanto o roubo de dados ocorreram, enfatizando que a falha em atender à demanda de resgate levará à publicação vazada de arquivos confidenciais.
Ameaçando vítimas com vazamentos de dados e ataques repetidos
A nota de resgate vai além de apenas exigir pagamento pela descriptografia. Os operadores do Orion Hackers ameaçam expor os arquivos comprometidos se as vítimas se recusarem a obedecer. Eles ainda alertam que qualquer tentativa de modificar ou excluir os dados criptografados pode resultar em perda permanente. Como demonstração de suas capacidades, os invasores se oferecem para descriptografar um arquivo de graça, tentando fazer as vítimas acreditarem que pagar o resgate é a única maneira de recuperar o acesso aos seus dados.
Além disso, a mensagem de resgate sugere que a falha em pagar pode levar a ataques cibernéticos adicionais contra a organização visada. Isso visa criar um senso de urgência e medo, pressionando as vítimas a tomar uma decisão precipitada.
Confira o que diz a nota de resgate:
Your System Hacked By Orion Hackers!
>>>> Your data are stolen and encrypted
The data will be published on TOR website if you do not pay the ransom
>>>> What guarantees that we will not deceive you?
We are not a politically motivated group and we do not need anything other than your money.
If you pay, we will provide you the programs for decryption and we will delete your data.
Life is too short to be sad. Be not sad, money, it is only paper.
If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future.
Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.
>>>> You need contact us and decrypt one file for free on these tox id =32C12B278912E26E5EAC57AEBB3F4FF16F0E31603C7B9D46AC02E9D993EE14351CEC3AB5945C with your personal DECRYPTION ID
Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.
Sometimes you will need to wait for our answer because we attack many companies.
Links for Tor Browser:
hxxps://utox.org/
hxxps://utox.org/uTox_win64.exe
If you do not get an answer in the chat room for a long time, the site does not work and in any other emergency, you can contact us in jabber or tox.
Tox ID : 6F902E0A889E60D47FB305E2EE4B72926A4A68297F2364285E2CB005DE53B377F76934FF16AB
>>>> Your personal DECRYPTION ID: -
>>>> Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!
>>>> Warning! If you do not pay the ransom we will attack your company repeatedly again!
Pagar o resgate: uma aposta arriscada
Embora a Orion Hackers prometa descriptografar arquivos mediante pagamento, ninguém pode garantir que eles manterão sua palavra. Muitos cibercriminosos não fornecem chaves de descriptografia mesmo após receberem o pagamento, deixando as vítimas sem seu dinheiro e seus dados. Além disso, pagar o resgate apenas alimenta ataques futuros, encorajando os hackers a continuarem suas operações.
Na maioria dos casos, descriptografar arquivos sem a cooperação dos invasores é extremamente difícil. A menos que o ransomware tenha falhas significativas em seu algoritmo de criptografia, restaurar dados sem um backup é frequentemente impossível. Assim, organizações e indivíduos são instados a manter backups seguros em vários locais, garantindo que não sejam deixados à mercê de operadores de ransomware.
A natureza do ransomware: como ele funciona
O ransomware opera criptografando arquivos usando criptografia simétrica ou assimétrica. A criptografia simétrica usa uma única chave para criptografia e descriptografia, enquanto a criptografia assimétrica envolve uma chave pública para criptografia e uma chave privada para descriptografia. O último método é particularmente eficaz para criminosos cibernéticos, pois as vítimas não podem descriptografar seus arquivos sem acesso à chave privada, que permanece nas mãos dos invasores.
Além disso, os valores de resgate podem variar significativamente com base no alvo. Enquanto usuários domésticos podem enfrentar demandas de resgate menores, grandes corporações e entidades governamentais frequentemente recebem solicitações de pagamento exorbitantes, às vezes chegando a seis ou até sete dígitos.
As táticas de distribuição por trás do Orion Hackers Ransomware
Os cibercriminosos implantam ransomware por meio de vários vetores de ataque, o que torna crucial que os usuários tenham cautela online. Um dos métodos mais comuns é o phishing, em que os invasores disfarçam anexos ou links maliciosos como arquivos legítimos em e-mails, mensagens diretas ou textos SMS. Usuários desavisados que abrem esses arquivos, sem saber, acionam uma infecção de ransomware.
Os hackers Orion também podem se espalhar por meio de vulnerabilidades de software, downloads drive-by e anúncios online maliciosos (malvertising). Em alguns casos, os invasores incorporam ransomware em software pirateado, atualizações de software falsas ou ferramentas de ativação ilegais, enganando os usuários para instalar a ameaça em seus dispositivos. Algumas cepas de ransomware têm até mesmo capacidades de autopropagação, permitindo que se propaguem por redes locais e dispositivos de armazenamento removíveis.
Fortalecendo as defesas contra ataques de ransomware
Os usuários devem adotar medidas de segurança proativas para minimizar o risco de uma infecção do Orion Hackers. Isso inclui evitar e-mails suspeitos, downloads não verificados e fontes de software não autorizadas. Além disso, habilitar a autenticação multifator (MFA) em contas, manter o software atualizado e usar práticas de senha seguras pode ajudar a reduzir a vulnerabilidade a ataques.
Backups regulares de dados também são essenciais. Armazenar backups em vários locais seguros — como discos rígidos offline ou armazenamento em nuvem — garante que arquivos críticos possam ser recuperados mesmo se um ransomware atacar. As organizações também devem implementar segmentação de rede e restringir permissões de usuário para limitar o dano potencial de uma infecção por ransomware.
Conclusão
O ransomware continua a evoluir, com os invasores refinando suas táticas para explorar novas vulnerabilidades e pressionar as vítimas a cumprir. O Orion Hackers exemplifica como os cibercriminosos combinam criptografia com roubo de dados para aumentar sua vantagem sobre as vítimas. No entanto, a conscientização e a preparação podem ajudar indivíduos e empresas a mitigar os riscos associados a esses ataques.
Em vez de sucumbir a pedidos de resgate, as vítimas devem se concentrar em remover o ransomware de seus sistemas e restaurar arquivos de backups seguros. Ao se manterem informados e manterem práticas fortes de segurança cibernética, os usuários podem se proteger melhor contra a crescente ameaça de ransomware.
