Orion Hackers Ransomware: еще одна угроза шифрования на подходе
Table of Contents
Опасный штамм с LockBit 3.0 Origins
Orion Hackers Ransomware — это программа шифрования данных, созданная на основе LockBit 3.0 (также известной как LockBit Black). Эта угроза разработана для блокировки файлов жертв и принуждения их платить за их восстановление. После проникновения в систему Orion Hackers немедленно начинает шифровать файлы и добавляет случайную строку к именам файлов, делая их недоступными.
После шифрования злоумышленники оставляют на рабочем столе жертвы записку с требованием выкупа под названием "[random_string].README.txt". Кроме того, меняются обои рабочего стола, что служит визуальным напоминанием об атаке. В сообщении с требованием выкупа говорится, что имели место как шифрование, так и кража данных, подчеркивая, что невыполнение требования выкупа приведет к утечке конфиденциальных файлов.
Угрозы жертвам утечками данных и повторными атаками
Записка с требованием выкупа выходит за рамки простого требования оплаты за расшифровку. Операторы Orion Hackers угрожают раскрыть взломанные файлы, если жертвы откажутся подчиниться. Они также предупреждают, что любая попытка изменить или удалить зашифрованные данные может привести к необратимой потере. В качестве демонстрации своих возможностей злоумышленники предлагают бесплатно расшифровать один файл, пытаясь заставить жертв поверить, что уплата выкупа — единственный способ восстановить доступ к своим данным.
Более того, сообщение о выкупе предполагает, что неуплата может привести к дополнительным кибератакам на целевую организацию. Это направлено на создание чувства срочности и страха, заставляя жертв принимать поспешное решение.
Посмотрите, что говорится в записке о выкупе:
Your System Hacked By Orion Hackers!
>>>> Your data are stolen and encrypted
The data will be published on TOR website if you do not pay the ransom
>>>> What guarantees that we will not deceive you?
We are not a politically motivated group and we do not need anything other than your money.
If you pay, we will provide you the programs for decryption and we will delete your data.
Life is too short to be sad. Be not sad, money, it is only paper.
If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future.
Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.
>>>> You need contact us and decrypt one file for free on these tox id =32C12B278912E26E5EAC57AEBB3F4FF16F0E31603C7B9D46AC02E9D993EE14351CEC3AB5945C with your personal DECRYPTION ID
Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.
Sometimes you will need to wait for our answer because we attack many companies.
Links for Tor Browser:
hxxps://utox.org/
hxxps://utox.org/uTox_win64.exe
If you do not get an answer in the chat room for a long time, the site does not work and in any other emergency, you can contact us in jabber or tox.
Tox ID : 6F902E0A889E60D47FB305E2EE4B72926A4A68297F2364285E2CB005DE53B377F76934FF16AB
>>>> Your personal DECRYPTION ID: -
>>>> Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!
>>>> Warning! If you do not pay the ransom we will attack your company repeatedly again!
Плата выкупа: рискованная игра
Хотя Orion Hackers обещают расшифровать файлы после оплаты, никто не может гарантировать, что они сдержат свое слово. Многие киберпреступники не предоставляют ключи расшифровки даже после получения оплаты, оставляя жертв и без денег, и без данных. Более того, выплата выкупа только подпитывает будущие атаки, поощряя хакеров продолжать свои операции.
В большинстве случаев расшифровка файлов без сотрудничества со стороны злоумышленников крайне затруднена. Если только у программы-вымогателя нет существенных недостатков в алгоритме шифрования, восстановление данных без резервной копии часто невозможно. Таким образом, организациям и отдельным лицам настоятельно рекомендуется хранить защищенные резервные копии в нескольких местах, чтобы не оказаться во власти операторов программ-вымогателей.
Природа программ-вымогателей: как это работает
Ransomware работает, шифруя файлы с помощью симметричной или асимметричной криптографии. Симметричное шифрование использует один ключ как для шифрования, так и для дешифрования, в то время как асимметричное шифрование включает открытый ключ для шифрования и закрытый ключ для дешифрования. Последний метод особенно эффективен для киберпреступников, поскольку жертвы не могут расшифровать свои файлы без доступа к закрытому ключу, который остается в руках злоумышленников.
Кроме того, суммы выкупа могут значительно различаться в зависимости от цели. В то время как домашние пользователи могут столкнуться с более низкими требованиями выкупа, крупные корпорации и государственные учреждения часто получают непомерные требования о выплате, иногда достигающие шести или даже семизначных сумм.
Тактика распространения вируса-вымогателя Orion Hackers
Киберпреступники используют программы-вымогатели через несколько векторов атак, поэтому пользователям крайне важно проявлять осторожность в сети. Одним из наиболее распространенных методов является фишинг, когда злоумышленники маскируют вредоносные вложения или ссылки под легитимные файлы в электронных письмах, прямых сообщениях или текстовых сообщениях SMS. Ничего не подозревающие пользователи, которые открывают эти файлы, неосознанно запускают заражение программой-вымогателем.
Orion Hackers также могут распространяться через уязвимости программного обеспечения, скрытые загрузки и вредоносную онлайн-рекламу (вредоносная реклама). В некоторых случаях злоумышленники внедряют программы-вымогатели в пиратское программное обеспечение, поддельные обновления программного обеспечения или незаконные инструменты активации, обманывая пользователей и заставляя их устанавливать угрозу на свои устройства. Некоторые штаммы программ-вымогателей даже обладают способностью к самораспространению, что позволяет им распространяться через локальные сети и съемные устройства хранения данных.
Усиление защиты от атак программ-вымогателей
Пользователи должны принять проактивные меры безопасности, чтобы минимизировать риск заражения Orion Hackers. Это включает в себя избегание подозрительных писем, непроверенных загрузок и неавторизованных источников программного обеспечения. Кроме того, включение многофакторной аутентификации (MFA) для учетных записей, поддержание программного обеспечения в актуальном состоянии и использование безопасных методов паролей может помочь снизить уязвимость к атакам.
Регулярное резервное копирование данных также необходимо. Хранение резервных копий в нескольких безопасных местах, например, на автономных жестких дисках или в облачном хранилище, гарантирует, что критически важные файлы могут быть восстановлены даже в случае атаки программ-вымогателей. Организации также должны внедрить сегментацию сети и ограничить права пользователей, чтобы ограничить потенциальный ущерб от заражения программами-вымогателями.
Итог
Программы-вымогатели продолжают развиваться, и злоумышленники совершенствуют свои тактики, чтобы использовать новые уязвимости и оказывать давление на жертв, заставляя их подчиняться. Orion Hackers является примером того, как киберпреступники сочетают шифрование с кражей данных, чтобы увеличить свое влияние на жертв. Однако осведомленность и готовность могут помочь отдельным лицам и компаниям снизить риски, связанные с этими атаками.
Вместо того, чтобы поддаваться требованиям выкупа, жертвам следует сосредоточиться на удалении вымогателя из своих систем и восстановлении файлов из защищенных резервных копий. Оставаясь в курсе событий и применяя надежные методы кибербезопасности, пользователи могут лучше защитить себя от растущей угрозы вымогателей.
