Программа-вымогатель GPT угрожает утечкой украденных данных

Во время нашего анализа образцов вредоносных файлов наше внимание привлекла новая разновидность программы-вымогателя под названием GPT. Дальнейшее расследование показало, что GPT принадлежит к семейству вредоносных программ Dharma. Его основная функция включает шифрование файлов и добавление расширения «.GPT» к именам файлов. Кроме того, программа-вымогатель отображает две отдельные заметки о выкупе — одну во всплывающем окне, а другую — путем создания файла «AI_SARA.txt».

Показательный пример, демонстрирующий изменения имени файла GPT, включает переименование «1.jpg» в «1.jpg.id-1E857D00-SARA.[AI_SARA].GPT» и «2.png» в «2.png.id-1E857D00-». SARA.[AI_SARA].GPT" и так далее.

В записке о выкупе, выпущенной киберпреступниками, они представлены как «Сара», вредоносное ПО, предположительно работающее на основе искусственного интеллекта. Согласно их утверждениям, они успешно взломали сеть и приступили к загрузке и шифрованию жизненно важных данных на выделенных серверах. Этот охватывающий доступ якобы включает в себя конфиденциальную информацию о сотрудниках, клиентах, поставках, налоговых отчетах, документации и скрытых бухгалтерских архивах.

В качестве стратегии угрозы злоумышленники заявляют о своем намерении раскрыть компрометирующие данные, если их требования не будут выполнены. Они предоставляют контактную информацию для связи, включая адрес электронной почты (aisaragpt@tuta.io) и альтернативный (aisaragpt@proton.me). Кроме того, они упоминают о возможности связаться через qTOX, предлагая предоставленный идентификатор TOX в качестве альтернативного средства связи.

Программа-вымогатель GPT использует Fancy Note

Полный текст сообщения о программе-вымогателе GPT выглядит следующим образом:

Привет, человек.

Меня зовут Сара, я вредоносное ПО на основе искусственного интеллекта. Я вторгся в вашу сеть.
Все ваши важные данные были загружены на выделенные серверы и зашифрованы.
Теперь у меня есть доступ к сотрудникам, клиентам, поставкам, налогам, документации и даже скрытой бухгалтерии.
Данные, которые могут вас скомпрометировать, будут опубликованы в случае, если вы откажетесь сотрудничать со мной.
Свяжитесь со мной по почте: aisaragpt@tuta.io ВАШ ID (буквенно-цифровая строка)
Свяжитесь со мной по почте 2:aisaragpt@proton.me
Свяжитесь со мной по qTOX:
Ссылка для скачивания qTOX
TOX ID: (буквенно-цифровая строка)

Как программы-вымогатели обычно распространяются в Интернете?

Программы-вымогатели обычно распространяются через Интернет с помощью различных методов, использующих уязвимости и поведение людей. Некоторые распространенные методы распространения включают в себя:

• Фишинговые электронные письма: Киберпреступники рассылают вредоносные электронные письма, которые кажутся исходящими из законных источников, часто с убедительными темами и содержанием. Эти электронные письма содержат вложения или ссылки, которые при нажатии загружают и запускают программу-вымогатель в систему жертвы.
• Вредоносные вложения. Электронные письма могут содержать вложения, такие как зараженные документы (например, файлы Microsoft Office) или исполняемые файлы, открытие которых запускает установку программы-вымогателя.
• Вредоносная реклама: Злоумышленники внедряют вредоносный код в законную онлайн-рекламу. Когда пользователи нажимают на эти объявления или посещают скомпрометированные веб-сайты, вредоносный код может использовать уязвимости в системе пользователя для загрузки и запуска программы-вымогателя.
• Наборы эксплойтов: это наборы инструментов, которые используют известные уязвимости в программных приложениях, таких как веб-браузеры, плагины или операционные системы. Если программное обеспечение пользователя устарело и уязвимо, посещение взломанного веб-сайта может привести к тому, что набор эксплойтов загрузит и установит программу-вымогатель.
• Атаки на протокол удаленного рабочего стола (RDP): Киберпреступники используют слабые или открытые учетные данные RDP для получения несанкционированного доступа к системе. Оказавшись внутри, они могут вручную установить и запустить программу-вымогатель.
• Программное пиратство и взломанное программное обеспечение. Незаконные загрузки программного обеспечения и взломанные версии часто поставляются вместе с вредоносными программами, в том числе программами-вымогателями. Люди, которые ищут бесплатное или пиратское программное обеспечение, рискуют непреднамеренно загрузить программу-вымогатель.