Hommy Ransomware

El Mezo el Ransomware

Traduir a:

El programari maliciós continua sent una de les amenaces de ciberseguretat més importants a les quals s'enfronten les organitzacions i els individus. Els programes maliciosos moderns estan dissenyats no només per interrompre les operacions, sinó també per robar informació sensible, extorsionar les víctimes i causar pèrdues financeres substancials. El ransomware, en particular, ha evolucionat fins a convertir-se en una empresa criminal altament rendible, cosa que fa que les mesures de seguretat proactives siguin essencials per protegir dades valuoses i mantenir la continuïtat del negoci. Entre les últimes amenaces identificades pels investigadors de ciberseguretat hi ha el ransomware Hommy, una perillosa soca de programari maliciós que xifra fitxers associada a la família de ransomware Makop.

Taula de continguts

Informació general sobre el ransomware Hommy

Hommy és una amenaça de ransomware que xifra els fitxers en sistemes compromesos i exigeix el pagament a les víctimes a canvi d'una suposada solució de desxifrat. Els investigadors de seguretat l'han identificat com a membre de la família de ransomware Makop, un grup conegut per atacar organitzacions i aprofitar tàctiques de doble extorsió que combinen el xifratge de dades amb amenaces d'exposició pública de dades.

Un cop executat al sistema d'una víctima, Hommy busca i xifra nombrosos tipus de fitxers, fent-los inaccessibles. A més de bloquejar els fitxers, el ransomware modifica els seus noms de fitxer afegint-hi un identificador únic de la víctima, l'adreça de correu electrònic de contacte dels atacants i l'extensió '.hommy'. Per exemple, un fitxer originalment accessible es pot transformar en un nom de fitxer com ara 'document.docx.[2AF20FA3].[privatehommy@outlook.com].hommy'. Aquest patró de canvi de nom serveix tant com a marcador d'infecció com a manera que els atacants associïn els fitxers xifrats amb una víctima específica.

Més enllà del xifratge de fitxers, Hommy deixa anar una nota de rescat anomenada "+README-WARNING+.txt" i altera el fons de pantalla de l'escriptori per garantir que les víctimes s'adonin immediatament de l'atac.

Comprensió de la demanda de rescat

La nota de rescat utilitzada per Hommy és concisa però intimidant. S'informa a les víctimes que els seus fitxers han estat xifrats i que les dades presumptament han estat robades de l'entorn afectat. Els atacants afirmen que el pagament és necessari no només per recuperar l'accés als fitxers xifrats, sinó també per evitar la publicació de la informació exfiltrada.

Es recomana a les víctimes que contactin amb els actors de les amenaces a través de l'adreça de correu electrònic "privatehommy@outlook.com" i que incloguin l'identificador de víctima assignat en totes les comunicacions. Cal destacar que la nota no especifica l'import del rescat, el mètode de pagament ni cap termini. Aquests detalls normalment només es revelen després que s'hagi establert contacte directe amb els atacants.

Una altra preocupació és l'absència de proves que els atacants posseeixin una capacitat de desxifratge funcional. A diferència d'algunes operacions de ransomware que ofereixen desxifrar un petit fitxer de mostra com a prova, els operadors de Hommy no proporcionen aquesta verificació a la seva nota.

Tàctiques de xifratge d’arxius i extorsió de dades

La metodologia d'atac emprada per Hommy reflecteix les tendències més àmplies observades en el panorama del ransomware. En lloc de basar-se únicament en el xifratge d'arxius, l'amenaça incorpora el robatori de dades a la seva estratègia d'extorsió. Aquest enfocament augmenta significativament la pressió sobre les víctimes, especialment les empreses que gestionen informació sensible dels clients, propietat intel·lectual o registres corporatius confidencials.

La combinació de xifratge i robatori de dades crea una situació difícil per a les organitzacions afectades. Fins i tot si hi ha còpies de seguretat disponibles i la recuperació operativa és possible, el risc que la informació sensible quedi exposada pot crear conseqüències legals, financeres i de reputació.

Com moltes famílies de ransomware, Hommy utilitza mecanismes de xifratge forts que generalment impedeixen que les víctimes restaurin fitxers sense accés a les eines de desxifratge dels atacants. La recuperació sense la participació dels actors amenaçadors normalment només és possible quan els investigadors descobreixen defectes d'implementació crítics en el mateix ransomware, cosa que no és habitual.

Com es propaga el ransomware Hommy

Hommy s'associa principalment amb atacs contra serveis remots mal protegits. Els actors amenaçadors sovint s'adrecen a sistemes amb accés a Internet que utilitzen credencials febles o que no tenen controls de seguretat adequats. Els serveis de protocol d'escriptori remot (RDP) són objectius especialment atractius, ja que els atacants poden intentar atacs de força bruta per obtenir accés no autoritzat a les xarxes corporatives.

Després d'obtenir accés, els atacants poden desplegar manualment el ransomware per tot l'entorn, maximitzant els danys i augmentant la probabilitat d'un intent d'extorsió reeixit.

Altres vectors d'infecció que s'associen habitualment amb Hommy i les variants relacionades del ransomware Makop inclouen:

Correus electrònics de phishing que contenen fitxers adjunts o enllaços maliciosos
programari maliciós troià que descarrega i instal·la càrregues addicionals
Actualitzacions de programari falses dissenyades per enganyar els usuaris perquè executin codi maliciós
Paquets de programari pirata i aplicacions piratejades obtingudes de fonts no fiables
Documents, scripts, executables i arxius comprimits maliciosos, com ara fitxers ZIP o RAR

Aquests fitxers poden semblar inofensius, però poden iniciar el procés d'infecció immediatament després de ser oberts o executats.

Per què pagar el rescat és una decisió arriscada

Els professionals de la ciberseguretat desaconsellen fermament els pagaments de rescat. No hi ha cap garantia que els actors amenaçadors proporcionin un desxifrador que funcioni després de rebre el pagament. Nombroses víctimes de ransomware han informat de situacions en què els delinqüents van desaparèixer després del pagament o van proporcionar eines de recuperació ineficaces.

A més, pagar un rescat dóna suport directament a les operacions criminals i contribueix al creixement continu de les campanyes de ransomware. Les organitzacions que decideixen negociar amb els atacants també poden convertir-se en objectius futurs atractius si els delinqüents les perceben com a disposades a pagar.

En lloc de finançar els ciberdelinqüents, les organitzacions afectades haurien de centrar-se en els procediments de resposta a incidents, les investigacions forenses, els esforços de contenció i la restauració a partir de còpies de seguretat netes sempre que sigui possible.

Consideracions sobre la recuperació i l’eliminació

Eliminar el ransomware Hommy d'un dispositiu infectat és essencial per evitar activitats de xifratge addicionals i més compromisos. Tanmateix, l'eliminació de programari maliciós per si sola no restaura els fitxers que ja s'han xifrat.

El mètode de recuperació més fiable continua sent la restauració de dades a partir de còpies de seguretat creades abans que es produís l'atac. Les còpies de seguretat efectives s'han d'emmagatzemar per separat dels sistemes de producció, com ara en dispositius d'emmagatzematge fora de línia o servidors de còpies de seguretat remots segurs als quals el ransomware no pot accedir fàcilment.

Les organitzacions que no tenen còpies de seguretat viables poden afrontar reptes importants a l'hora d'intentar recuperar dades xifrades. En aquests casos, s'ha de consultar amb especialistes en resposta a incidents per avaluar les opcions de recuperació disponibles i determinar l'abast de la violació.

Enfortiment de les defenses contra el ransomware

La prevenció de les infeccions de ransomware requereix una estratègia de seguretat per capes que combini mesures de seguretat tècniques amb la conscienciació de l'usuari. Les organitzacions haurien de prioritzar la protecció dels serveis d'accés remot aplicant polítiques de contrasenya fortes, implementant l'autenticació multifactor i limitant l'exposició de les interfícies de gestió a Internet públic.

Les actualitzacions periòdiques de programari són igualment importants perquè els atacants sovint exploten vulnerabilitats conegudes en sistemes operatius i aplicacions obsoletes. Les solucions completes de protecció de punts finals, les eines de monitorització de xarxa i els sistemes de detecció d'intrusions poden ajudar a identificar l'activitat maliciosa abans que es converteixi en un incident de ransomware a gran escala.

Igualment crític és mantenir una estratègia de còpies de seguretat robusta. Les còpies de seguretat s'han de fer regularment, comprovar-ne la integritat i emmagatzemar-les en ubicacions aïllades dels sistemes principals. Sense còpies de seguretat fiables, les opcions de recuperació es tornen significativament més limitades després d'un atac.

La formació en conscienciació sobre seguretat també juga un paper vital. Els empleats han de rebre formació per reconèixer els intents de phishing, els fitxers adjunts sospitosos, les sol·licituds de descàrrega inesperades i altres tàctiques d'enginyeria social que utilitzen habitualment els ciberdelinqüents. Com que moltes infeccions de ransomware comencen amb la interacció de l'usuari, el personal informat pot servir com a primera línia de defensa eficaç.

Avaluació final

El ransomware Hommy representa una greu amenaça de ciberseguretat que combina xifratge d'arxius, denúncies de robatori de dades i tàctiques d'extorsió característiques de la família de ransomware Makop. En atacar sistemes mal protegits i aprofitar múltiples vectors d'infecció, pot causar greus interrupcions operatives i danys financers.

Tot i que l'eliminació del ransomware és necessària per aturar futures activitats malicioses, la recuperació dels fitxers xifrats generalment depèn de la disponibilitat de còpies de seguretat segures. Les organitzacions poden reduir significativament el seu risc implementant controls d'accés forts, mantenint sistemes actualitzats, desplegant defenses de seguretat per capes i educant els usuaris sobre l'evolució de les amenaces cibernètiques. Una postura de seguretat proactiva continua sent la defensa més eficaç contra els atacs de ransomware com ara Hommy.

System Messages

The following system messages may be associated with Hommy Ransomware:

Text shown as a dekstop wallpaper:

Your files were encrypted!
Please contact us for decryption.

The files on your server have been encrypted and stolen.

You must pay to decrypt the files to prevent them from being published online.

Contact me by email for all necessary instructions:
privatehommy@outlook.com

Your ID:

El processador de pagaments d'EnigmaSoft, Digital River GmbH, la declaració de fallida no afecta la protecció antimalware dels clients de SpyHunter

Cerca

Canvia de regió