ADMON Ransomware irá bloquear seu sistema

Ao examinar os envios de novos arquivos de malware, nossa equipe de pesquisadores de malware encontrou o ADMON ransomware, que exibe características distintas. Este ransomware criptografa arquivos e modifica seus nomes de arquivo acrescentando a extensão ".ADMON". Além disso, deixa para trás uma nota de resgate chamada "RESTORE_FILES_INFO.txt".

Por exemplo, um arquivo originalmente denominado "1.jpg" seria transformado em "1.jpg.ADMON", enquanto "2.png" se tornaria "2.png.ADMON" e assim por diante.

A nota de resgate serve para informar as vítimas sobre a extensão do ataque em sua rede. Ele afirma que seus computadores e servidores foram bloqueados e seus dados privados foram exfiltrados pelos invasores. Os dados roubados abrangem vários tipos, como contratos, informações de clientes, dados financeiros, registros de RH, bancos de dados e muito mais.

Para coagir as vítimas a cumprirem suas exigências, os invasores ameaçam expor publicamente todos os dados adquiridos, a menos que as vítimas estabeleçam contato em um prazo de três dias. A nota conclui fornecendo instruções sobre como alcançar os invasores e descreve os benefícios que as vítimas receberiam se obedecessem. Esses benefícios incluem descriptografia total de suas máquinas, exclusão de seus dados dos servidores dos invasores, recomendações para fortalecer o perímetro de sua rede e garantia de total confidencialidade em relação ao incidente.

ADMON usa nota de resgate excessivamente longa

O texto completo da nota de resgate do ADMON é o seguinte:

O que aconteceu?

Sua rede foi ATACADA, seus computadores e servidores foram BLOQUEADOS,
Seus dados privados foram BAIXADOS:

• Contratos
• dados dos clientes
• Finança
• RH
• bancos de dados
• E mais outros…

O que isso significa?

Significa que em breve a mídia de massa, seus parceiros e clientes SABERÃO do seu PROBLEMA.

Como pode ser evitado?

Para evitar esse problema,
você deve ENTRAR EM CONTATO CONOSCO no prazo máximo de 3 DIAS e concluir o CONTRATO de recuperação de dados e correção de violação.

E se eu não entrar em contato com você em 3 dias?

Se você não entrar em contato conosco nos próximos 3 DIAS, iniciaremos a publicação dos DADOS.
Publicaremos informações sobre a invasão de sua empresa em nosso twitter hxxps://twitter.com/RobinHoodLeaks ou hxxps://www.gettr.com/user/robinhoodleaks
TODOS OS CLIENTES VÃO SABER SOBRE SEU HACKING E VAZAMENTO DE DADOS!!! A REPUTAÇÃO DA SUA EMPRESA SERÁ PREJUDICADA!

eu posso lidar com isso sozinho

É seu DIREITO, mas neste caso todos os seus dados serão publicados para USO público.

Não temo suas ameaças!

Essa não é a ameaça, mas o algoritmo de nossas ações.
Se você tem centenas de milhões de dólares INDESEJADOS, não há nada a temer por você.
Essa é a QUANTIDADE EXATA de dinheiro que você gastará para recuperação e pagamentos por causa da PUBLICAÇÃO.
Você está se expondo a enormes penalidades com ações judiciais e do governo se nós dois não chegarmos a um acordo.
Já vimos isso antes de casos com custos multimilionários em multas e ações judiciais,
sem falar na reputação da empresa e na perda da confiança dos clientes e das mídias ligando sem parar para obter respostas.

Você me convenceu!

Então você precisa ENTRAR EM CONTATO CONOSCO, existem algumas maneiras de FAZER isso.

---Método seguro---

a) Baixe um cliente qTOX: hxxps://tox.chat/download.html
b) Instale o cliente qTOX e registre a conta
c) Adicione nosso qTOX ID: 671263E7BC06103C77146A5ABB802A63 F53A42B4C4766329A5F04D2660C99A3611635CC36B3A
d) Escreva-nos a extensão de seus arquivos criptografados .ADMON

Nosso SUPORTE AO VIVO está pronto para TE AJUDAR neste chat.

O que vou receber em caso de acordo

Você OBTERÁ DESCRIPTAÇÃO completa de suas máquinas na rede, EXCLUIR seus dados de nossos servidores,
RECOMENDAÇÕES para proteger seu perímetro de rede.

E TOTAL CONFIDENCIALIDADE SOBRE O INCIDENTE.

Como o Ransomware Like ADMON é distribuído online?

Estes são alguns dos métodos mais comuns usados para distribuir ransomware como o ADMON:

• E-mails de phishing: os cibercriminosos enviam e-mails enganosos que parecem legítimos, geralmente se passando por organizações ou indivíduos confiáveis. Esses e-mails podem conter anexos maliciosos ou incluir links para sites que hospedam ransomware. Depois que os usuários interagem com esses elementos, o ransomware é baixado e executado em seus sistemas.
• Sites maliciosos: os invasores podem criar sites maliciosos ou comprometer sites legítimos para distribuir ransomware. Usuários desavisados podem visitar esses sites ou clicar em anúncios maliciosos, levando ao download e instalação automáticos do ransomware em seus dispositivos.
• Kits de exploração: os cibercriminosos podem utilizar kits de exploração, que são ferramentas que tiram proveito de vulnerabilidades em software ou sistemas operacionais. Quando os usuários visitam sites comprometidos, o kit de exploração verifica seu sistema em busca de vulnerabilidades e implanta o ransomware se uma vulnerabilidade adequada for encontrada.
• Ataques de Protocolo de Área de Trabalho Remota (RDP): Ransomware também pode ser distribuído explorando conexões RDP fracas ou mal protegidas. Os invasores podem obter acesso não autorizado a um sistema por meio do RDP e instalar manualmente o ransomware ou usar ferramentas automatizadas para implantá-lo.

É importante observar que os métodos de distribuição de ransomware evoluem com o tempo, à medida que os cibercriminosos adaptam suas táticas. Para se manter protegido, é crucial manter o software de segurança atualizado, ter cuidado ao abrir anexos de e-mail ou clicar em links, atualizar regularmente seu sistema operacional e aplicativos e implementar práticas de segurança fortes, como o uso de senhas complexas e habilitação de dois fatores autenticação.