Bl00dyAdmin Ransomware ameaça vazamento de dados
Ao analisar novas amostras de malware, identificamos uma variante de ransomware conhecida como Bl00dyAdmin. Este software malicioso encripta dados e altera os nomes dos ficheiros encriptados anexando a extensão ".CRYPT". Além disso, Bl00dyAdmin gera um arquivo chamado "Read_instructions_To_Decrypt.txt", que contém instruções para efetuar o pagamento do resgate.
O padrão de renomeação de arquivos do Bl00dyAdmin é exemplificado pela transformação de "1.jpg" em "1.jpg.CRYPT", "2.png" em "2.png.CRYPT" e assim por diante. A nota de resgate afirma que todos os arquivos nos servidores e dispositivos interconectados da organização foram criptografados, sinalizando uma possível violação ou intrusão na rede. A nota descreve um processo de resolução que envolve a aquisição de software de descriptografia dos invasores. O valor do resgate não é especificado, mas afirma-se que aumentará em US$ 1.000 a cada 24 horas, enfatizando a necessidade de uma ação rápida dentro de um prazo de 72 horas.
Além disso, a nota fornece informações de contato por e-mail (bl00dyadmin@dnmx.org) e um aplicativo de bate-papo Tox. Inclui instruções para obter o software de descriptografia, juntamente com uma oferta de demonstração para descriptografar três arquivos sem nenhum custo para verificar sua eficácia. No entanto, a nota também emite avisos severos sobre as consequências terríveis do incumprimento, incluindo a ameaça de divulgação de dados roubados.
Nota de resgate completa do Bl00dyAdmin
O texto completo da nota de resgate do Bl00dyAdmin é o seguinte:
Hello
We are a team of high-level competent team of Pentesters but NOT a THREAT to your reputable organization
We secure networks of companies to avoid complete destruction and damages to companies
We encrypted all files on Your servers to show sign of breach / network intrusion
To resolve this Continue reading !!!!ALL files oN Your Entire Network Servers and Connected Devices are Encrypted.
Means , Files are modified and are not usable at the moment.
Don't Panic !!!
All Encrypted files can be reversed to original form and become usable .
This is Only Possible if you buy the universal Decryption software from me.
Price for universal Decryption Software : $ Contact us either through email or tox chat app for the ransom price $
You Have 72 hours To Make Payment As Price of Universal Decryption software increases by $1000 dollars every 24 hours.
Contact on this email: bl00dyadmin@dnmx.org
copy email address and write message to bl00dyadmin@dnmx.org
You can write me on tox:
Download tox app from hxxps://tox.chat
Create new Account ..
Send me friend request using my tox id:
E5BBFAD2DB3FB497EA03612B2428F927FD8 A9B3333D524FD51D43B029B7870571CEB0166CB03
copy and paste it as it is
Before You Pay me … I will Decrypt 3 files for free To proof the universal Decryption software works
Failure to Pay Me :
Kindly RESPECT my Rules
Note: Huge amounts of Data / documents has been stolen from your Network servers and will be published online for free
I have stolen All Your Databases ; DAta on your shared drives ; AD users Emails(Good for Spam) ;
i have stolen huge amount of critical data from your serversI keep the breach private only if your cooperate
Como o ransomware pode infectar seu sistema?
O ransomware pode infectar um sistema por vários meios, e os invasores geralmente empregam táticas sofisticadas para explorar vulnerabilidades. Aqui estão algumas maneiras comuns pelas quais o ransomware pode se infiltrar em um sistema:
E-mails de phishing: os invasores costumam usar e-mails de phishing para entregar ransomware. Esses e-mails podem conter anexos ou links maliciosos que, quando clicados, iniciam o download e a execução do ransomware. Os e-mails podem parecer legítimos, muitas vezes representando entidades respeitáveis, e podem conter mensagens urgentes ou atraentes para solicitar ao destinatário uma ação.
Sites maliciosos: visitar sites comprometidos ou maliciosos pode expor um sistema a ransomware. Isso pode ocorrer por meio de downloads drive-by ou incentivando os usuários a clicar em conteúdo aparentemente inofensivo que, na verdade, carrega cargas maliciosas.
Malvertising: os cibercriminosos podem comprometer redes de publicidade online para distribuir anúncios maliciosos. Os usuários que clicam nesses anúncios podem baixar ransomware em seus sistemas sem saber. Este método é conhecido como malvertising.
Explorando vulnerabilidades de software: O ransomware pode explorar vulnerabilidades em software, sistemas operacionais ou aplicativos. Os cibercriminosos procuram e exploram ativamente pontos fracos de segurança e, se um sistema não for atualizado imediatamente com os patches de segurança mais recentes, torna-se suscetível a ataques de ransomware.
Ataques de protocolo de área de trabalho remota (RDP): se os serviços de área de trabalho remota estiverem configurados incorretamente ou protegidos com credenciais fracas, os invasores poderão usar força bruta ou outros métodos para obter acesso não autorizado. Uma vez lá dentro, eles podem implantar ransomware no sistema ou rede comprometida.
Downloads drive-by: O ransomware pode ser entregue por meio de downloads drive-by, onde o código malicioso é automaticamente baixado e executado quando um usuário visita um site comprometido ou malicioso, muitas vezes sem qualquer interação ou conhecimento do usuário.
Instaladores de software infectados: os cibercriminosos podem comprometer instaladores de software legítimos, injetando ransomware neles. Os usuários que baixam e instalam inadvertidamente esses aplicativos infectados podem introduzir inadvertidamente ransomware em seus sistemas.
