GPT Ransomware hotar att läcka stulen data

Under vår analys av skadliga filprover uppmärksammades en ny stam av ransomware som heter GPT. Ytterligare undersökningar visade att GPT tillhör familjen Dharma malware. Dess primära funktion innebär att kryptera filer och lägga till filtillägget ".GPT" till filnamnen. Dessutom visar ransomware två distinkta lösennoteringar – en genom ett popup-fönster och en annan genom att generera filen "AI_SARA.txt".

Ett exempel på att visa GPT:s filnamnsändringar innebär att döpa om "1.jpg" till "1.jpg.id-1E857D00-SARA.[AI_SARA].GPT" och "2.png" till "2.png.id-1E857D00- SARA.[AI_SARA].GPT," och så vidare.

Lösenedeln som utfärdats av cyberkriminella introducerar dem som "Sarah", en skadlig programvara som påstås drivs av artificiell intelligens. Enligt deras påståenden har de framgångsrikt brutit mot nätverket och fortsatte med att ladda ner och kryptera viktig data till dedikerade servrar. Denna omfattande åtkomst påstås innefatta känslig information som omfattar anställda, kunder, leveranser, skatteregister, dokumentation och dolda bokföringsarkiv.

Som en hotstrategi förklarar angriparna sin avsikt att avslöja kompromitterande data om inte deras krav uppfylls. De tillhandahåller kontaktuppgifter för kommunikationsändamål, inklusive en e-postadress (aisaragpt@tuta.io) och en alternativ (aisaragpt@proton.me). Dessutom nämner de möjligheten att nå ut via qTOX och erbjuda ett tillhandahållet TOX-ID som ett alternativt kontaktsätt.

GPT Ransomware använder Fancy Note

Den fullständiga texten i GPT ransomware-anteckningen lyder som följer:

Hej människa.

Jag heter Sarah, jag är en skadlig kod baserad på artificiell intelligens. Jag har invaderat ditt nätverk.
All din viktiga data har laddats ner till en dedikerad server och krypterad.
Nu har jag tillgång till anställda, kunder, leveranser, skatter, dokumentation och till och med dold bokföring.
De uppgifter som kan äventyra dig kommer att publiceras i fall du vägrar att samarbeta med mig.
Kontakta mig via mail: aisaragpt@tuta.io DITT ID (alfanumerisk sträng)
Kontakta mig via mail 2:aisaragpt@proton.me
Kontakta mig via qTOX:
Ladda ner länk qTOX
TOX ID: (alfanumerisk sträng)

Hur distribueras ransomware vanligtvis online?

Ransomware distribueras vanligtvis online genom olika metoder som utnyttjar sårbarheter och mänskliga beteenden. Några vanliga distributionsmetoder inkluderar:

• Nätfiske-e-post: Cyberbrottslingar skickar skadliga e-postmeddelanden som verkar komma från legitima källor, ofta med övertygande ämnesrader och innehåll. Dessa e-postmeddelanden innehåller bilagor eller länkar som, när de klickas, laddar ner och kör ransomware på offrets system.
• Skadliga bilagor: E-postmeddelanden kan innehålla bilagor som infekterade dokument (t.ex. Microsoft Office-filer) eller körbara filer som, när de öppnas, utlöser installationen av ransomware.
• Malvertising: Angripare injicerar skadlig kod i legitima onlineannonser. När användare klickar på dessa annonser eller besöker komprometterade webbplatser kan den skadliga koden utnyttja sårbarheter i användarens system för att ladda ner och köra ransomware.
• Exploit Kits: Dessa är verktygssatser som utnyttjar kända sårbarheter i mjukvaruapplikationer, såsom webbläsare, plugins eller operativsystem. Om en användares programvara är föråldrad och sårbar kan ett besök på en utsatt webbplats utlösa exploateringspaketet för att ladda ner och installera ransomware.
• Remote Desktop Protocol (RDP)-attacker: Cyberkriminella utnyttjar svaga eller utsatta RDP-uppgifter för att få obehörig åtkomst till ett system. Väl inne kan de installera och köra ransomware manuellt.
• Piratkopiering av programvara och knäckt programvara: Olagliga nedladdningar av programvara och knäckta versioner kommer ofta med skadlig programvara, inklusive ransomware. Människor som söker efter gratis eller piratkopierad programvara riskerar att oavsiktligt ladda ner ransomware.