ADMON Ransomware irá bloquear seu sistema
Ao examinar os envios de novos arquivos de malware, nossa equipe de pesquisadores de malware encontrou o ADMON ransomware, que exibe características distintas. Este ransomware criptografa arquivos e modifica seus nomes de arquivo acrescentando a extensão ".ADMON". Além disso, deixa para trás uma nota de resgate chamada "RESTORE_FILES_INFO.txt".
Por exemplo, um arquivo originalmente denominado "1.jpg" seria transformado em "1.jpg.ADMON", enquanto "2.png" se tornaria "2.png.ADMON" e assim por diante.
A nota de resgate serve para informar as vítimas sobre a extensão do ataque em sua rede. Ele afirma que seus computadores e servidores foram bloqueados e seus dados privados foram exfiltrados pelos invasores. Os dados roubados abrangem vários tipos, como contratos, informações de clientes, dados financeiros, registros de RH, bancos de dados e muito mais.
Para coagir as vítimas a cumprirem suas exigências, os invasores ameaçam expor publicamente todos os dados adquiridos, a menos que as vítimas estabeleçam contato em um prazo de três dias. A nota conclui fornecendo instruções sobre como alcançar os invasores e descreve os benefícios que as vítimas receberiam se obedecessem. Esses benefícios incluem descriptografia total de suas máquinas, exclusão de seus dados dos servidores dos invasores, recomendações para fortalecer o perímetro de sua rede e garantia de total confidencialidade em relação ao incidente.
ADMON usa nota de resgate excessivamente longa
O texto completo da nota de resgate do ADMON é o seguinte:
O que aconteceu?
Sua rede foi ATACADA, seus computadores e servidores foram BLOQUEADOS,
Seus dados privados foram BAIXADOS:
- Contratos
- dados dos clientes
- Finança
- RH
- bancos de dados
- E mais outros…
O que isso significa?
Significa que em breve a mídia de massa, seus parceiros e clientes SABERÃO do seu PROBLEMA.
Como pode ser evitado?
Para evitar esse problema,
você deve ENTRAR EM CONTATO CONOSCO no prazo máximo de 3 DIAS e concluir o CONTRATO de recuperação de dados e correção de violação.E se eu não entrar em contato com você em 3 dias?
Se você não entrar em contato conosco nos próximos 3 DIAS, iniciaremos a publicação dos DADOS.
Publicaremos informações sobre a invasão de sua empresa em nosso twitter hxxps://twitter.com/RobinHoodLeaks ou hxxps://www.gettr.com/user/robinhoodleaks
TODOS OS CLIENTES VÃO SABER SOBRE SEU HACKING E VAZAMENTO DE DADOS!!! A REPUTAÇÃO DA SUA EMPRESA SERÁ PREJUDICADA!eu posso lidar com isso sozinho
É seu DIREITO, mas neste caso todos os seus dados serão publicados para USO público.
Não temo suas ameaças!
Essa não é a ameaça, mas o algoritmo de nossas ações.
Se você tem centenas de milhões de dólares INDESEJADOS, não há nada a temer por você.
Essa é a QUANTIDADE EXATA de dinheiro que você gastará para recuperação e pagamentos por causa da PUBLICAÇÃO.
Você está se expondo a enormes penalidades com ações judiciais e do governo se nós dois não chegarmos a um acordo.
Já vimos isso antes de casos com custos multimilionários em multas e ações judiciais,
sem falar na reputação da empresa e na perda da confiança dos clientes e das mídias ligando sem parar para obter respostas.Você me convenceu!
Então você precisa ENTRAR EM CONTATO CONOSCO, existem algumas maneiras de FAZER isso.
---Método seguro---
a) Baixe um cliente qTOX: hxxps://tox.chat/download.html
b) Instale o cliente qTOX e registre a conta
c) Adicione nosso qTOX ID: 671263E7BC06103C77146A5ABB802A63 F53A42B4C4766329A5F04D2660C99A3611635CC36B3A
d) Escreva-nos a extensão de seus arquivos criptografados .ADMONNosso SUPORTE AO VIVO está pronto para TE AJUDAR neste chat.
O que vou receber em caso de acordo
Você OBTERÁ DESCRIPTAÇÃO completa de suas máquinas na rede, EXCLUIR seus dados de nossos servidores,
RECOMENDAÇÕES para proteger seu perímetro de rede.E TOTAL CONFIDENCIALIDADE SOBRE O INCIDENTE.
Como o Ransomware Like ADMON é distribuído online?
Estes são alguns dos métodos mais comuns usados para distribuir ransomware como o ADMON:
- E-mails de phishing: os cibercriminosos enviam e-mails enganosos que parecem legítimos, geralmente se passando por organizações ou indivíduos confiáveis. Esses e-mails podem conter anexos maliciosos ou incluir links para sites que hospedam ransomware. Depois que os usuários interagem com esses elementos, o ransomware é baixado e executado em seus sistemas.
- Sites maliciosos: os invasores podem criar sites maliciosos ou comprometer sites legítimos para distribuir ransomware. Usuários desavisados podem visitar esses sites ou clicar em anúncios maliciosos, levando ao download e instalação automáticos do ransomware em seus dispositivos.
- Kits de exploração: os cibercriminosos podem utilizar kits de exploração, que são ferramentas que tiram proveito de vulnerabilidades em software ou sistemas operacionais. Quando os usuários visitam sites comprometidos, o kit de exploração verifica seu sistema em busca de vulnerabilidades e implanta o ransomware se uma vulnerabilidade adequada for encontrada.
- Ataques de Protocolo de Área de Trabalho Remota (RDP): Ransomware também pode ser distribuído explorando conexões RDP fracas ou mal protegidas. Os invasores podem obter acesso não autorizado a um sistema por meio do RDP e instalar manualmente o ransomware ou usar ferramentas automatizadas para implantá-lo.
É importante observar que os métodos de distribuição de ransomware evoluem com o tempo, à medida que os cibercriminosos adaptam suas táticas. Para se manter protegido, é crucial manter o software de segurança atualizado, ter cuidado ao abrir anexos de e-mail ou clicar em links, atualizar regularmente seu sistema operacional e aplicativos e implementar práticas de segurança fortes, como o uso de senhas complexas e habilitação de dois fatores autenticação.