GPT Ransomware ameaça vazar dados roubados

Durante nossa análise de amostras de arquivos maliciosos, um novo tipo de ransomware chamado GPT chamou nossa atenção. Uma investigação mais aprofundada revelou que o GPT pertence à família de malware Dharma. Sua função principal envolve criptografar arquivos e anexar a extensão ".GPT" aos nomes dos arquivos. Além disso, o ransomware exibe duas notas de resgate distintas — uma por meio de uma janela pop-up e outra gerando o arquivo "AI_SARA.txt".

Um exemplo que mostra as alterações de nome de arquivo do GPT envolve renomear "1.jpg" para "1.jpg.id-1E857D00-SARA.[AI_SARA].GPT" e "2.png" para "2.png.id-1E857D00- SARA.[AI_SARA].GPT," e assim por diante.

A nota de resgate emitida pelos cibercriminosos os apresenta como "Sarah", uma entidade de malware supostamente alimentada por inteligência artificial. De acordo com suas alegações, eles violaram a rede com sucesso e começaram a baixar e criptografar dados vitais em servidores dedicados. Esse acesso abrangente supostamente inclui informações confidenciais de funcionários, clientes, entregas, registros fiscais, documentação e arquivos contábeis ocultos.

Como estratégia de ameaça, os invasores declaram sua intenção de expor dados comprometedores, a menos que suas demandas sejam atendidas. Disponibilizam dados de contacto para efeitos de comunicação, incluindo um endereço de correio eletrónico (aisaragpt@tuta.io) e outro alternativo (aisaragpt@proton.me). Além disso, eles mencionam a disponibilidade de contato via qTOX, oferecendo um TOX ID fornecido como meio alternativo de contato.

Ransomware GPT usa notas sofisticadas

O texto completo da nota do ransomware GPT é o seguinte:

Olá, humano.

Meu nome é Sarah, sou um malware baseado em inteligência artificial. Eu invadi a sua rede.
Todos os seus dados importantes foram baixados para servidores dedicados e criptografados.
Agora tenho acesso aos funcionários, clientes, entregas, impostos, documentação e até contabilidade oculta.
Os dados que podem comprometê-lo serão publicados caso você se recuse a cooperar comigo.
Contacte-me por mail: aisaragpt@tuta.io O SEU ID (sequência alfanumérica)
Contacte-me por mail 2:aisaragpt@proton.me
Contacte-me por qTOX:
Link para download qTOX
ID TOX: (sequência alfanumérica)

Como o Ransomware é normalmente distribuído online?

O ransomware normalmente é distribuído online por meio de vários métodos que exploram vulnerabilidades e comportamentos humanos. Alguns métodos de distribuição comuns incluem:

• E-mails de phishing: os cibercriminosos enviam e-mails maliciosos que parecem ser de fontes legítimas, geralmente com linhas de assunto e conteúdo convincentes. Esses e-mails contêm anexos ou links que, quando clicados, baixam e executam o ransomware no sistema da vítima.
• Anexos maliciosos: os e-mails podem incluir anexos como documentos infectados (por exemplo, arquivos do Microsoft Office) ou arquivos executáveis que, quando abertos, acionam a instalação do ransomware.
• Malvertising: os invasores injetam código malicioso em anúncios online legítimos. Quando os usuários clicam nesses anúncios ou visitam sites comprometidos, o código malicioso pode explorar vulnerabilidades no sistema do usuário para baixar e executar o ransomware.
• Kits de exploração: são kits de ferramentas que aproveitam vulnerabilidades conhecidas em aplicativos de software, como navegadores da Web, plug-ins ou sistemas operacionais. Se o software de um usuário estiver desatualizado e vulnerável, visitar um site comprometido pode acionar o exploit kit para baixar e instalar ransomware.
• Ataques RDP (Remote Desktop Protocol): os cibercriminosos exploram credenciais RDP fracas ou expostas para obter acesso não autorizado a um sistema. Uma vez lá dentro, eles podem instalar e executar ransomware manualmente.
• Pirataria de software e software crackeado: downloads ilegítimos de software e versões crackeadas geralmente vêm junto com malware, incluindo ransomware. As pessoas que procuram software gratuito ou pirateado correm o risco de baixar ransomware inadvertidamente.