Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Ransomware Mortar Ransomware

Mortar Ransomware

El Mezo el Ransomware
Traduir a:

El programari maliciós continua sent una de les amenaces de ciberseguretat més importants a les quals s'enfronten tant les organitzacions com els individus. Els atacs de ransomware moderns poden interrompre les operacions comercials, causar greus pèrdues financeres i comprometre informació sensible en qüestió d'hores. A mesura que els grups de ransomware es tornen cada cop més sofisticats, mantenir controls de seguretat forts i defenses proactives és essencial per protegir dades valuoses i garantir la continuïtat operativa.

Resum del ransomware de Mortar

El ransomware Mortar és una soca de programari maliciós que xifra fitxers identificada per investigadors de ciberseguretat. L'amenaça està dissenyada principalment per atacar entorns corporatius, on els atacants busquen maximitzar la interrupció operativa i augmentar la pressió sobre les víctimes perquè paguin un rescat. Un cop desplegat dins d'una xarxa compromesa, Mortar xifra els fitxers i deixa una nota de rescat anomenada segons l'identificador únic de la víctima, seguint el format "README-[ID de la víctima].txt".

Una característica distintiva d'aquest ransomware és el seu comportament de canvi de nom de fitxers. Durant el xifratge, Mortar afegeix un ID de víctima únic a cada fitxer afectat. Per exemple, un fitxer originalment anomenat '1.png' pot convertir-se en '1.png.4RcrXfvVksS5ACA', mentre que un document com ara '2.pdf' es pot transformar en '2.pdf.4RcrXfvVksS5ACA'. El mateix identificador s'utilitza al nom del fitxer de la nota de rescat, creant una associació directa entre la víctima i l'atac.

Procés de xifratge i demandes de rescat

Després d'infiltrar-se en una xarxa, Mortar xifra una àmplia gamma de dades, incloent-hi documents, bases de dades, fotografies i altres fitxers empresarials valuosos. La nota de rescat afirma que els atacants van utilitzar els algoritmes de xifratge AES-256 i RSA-2048 per bloquejar la informació de la víctima. Tot i que aquestes afirmacions són habituals entre els operadors de ransomware, l'objectiu general continua sent el mateix: fer que les dades siguin inaccessibles sense una clau de desxifratge corresponent.

La nota de rescat informa a les víctimes que l'única manera de recuperar els seus fitxers és comprant una eina de desxifratge als atacants. En lloc d'especificar una quantitat fixa de rescat, els delinqüents dirigeixen les víctimes a un portal basat en Tor i proporcionen credencials d'inici de sessió que consisteixen en un nom d'usuari i una contrasenya. Aquest enfocament permet als atacants negociar els pagaments individualment i potencialment ajustar les demandes de rescat en funció del valor percebut de l'organització víctima.

Es poden recuperar fitxers xifrats?

Recuperar fitxers xifrats per ransomware sovint és extremadament difícil sense accés al mecanisme de desxifratge dels atacants. En situacions rares, els investigadors de ciberseguretat descobreixen errors d'implementació o debilitats criptogràfiques que permeten la creació de desxifratgers gratuïts. Tanmateix, aquests casos són poc freqüents i les víctimes afectades per ransomware ben dissenyat sovint s'enfronten a opcions de recuperació limitades.

Pagar el rescat generalment es considera una decisió d'alt risc. Els ciberdelinqüents no tenen cap obligació de proporcionar una eina de desxifratge que funcioni després de rebre el pagament. Moltes víctimes han experimentat situacions en què es van transferir fons, però les eines de recuperació mai es van lliurar o les eines proporcionades no van poder restaurar les dades correctament. En conseqüència, el pagament pot resultar en pèrdues financeres addicionals sense garantir la recuperació de fitxers.

Vectors d'infecció i tècniques d'atac

El Mortar pot arribar a les víctimes a través de diversos mètodes d'atac que s'utilitzen habitualment en campanyes de ransomware. El phishing continua sent un dels vectors d'infecció més prevalents. Els atacants distribueixen correus electrònics que contenen fitxers adjunts maliciosos com ara arxius comprimits, fitxers executables o documents de Microsoft Office incrustats amb macros nocives. Un cop oberts, aquests fitxers poden iniciar el procés de desplegament del ransomware.

Altres vies d'infecció inclouen programari troià, mecanismes d'actualització falsos, campanyes publicitàries malicioses, portals de descàrrega no fiables i aplicacions pirates distribuïdes a través de canals no oficials. Aquests mètodes exploten la confiança dels usuaris i els controls de seguretat inadequats per obtenir accés als sistemes.

En intrusions corporatives dirigides, els actors d'amenaces poden adoptar tècniques més avançades. Els atacants sovint intenten comprometre els serveis del Protocol d'escriptori remot (RDP) mitjançant atacs de força bruta contra credencials febles. També poden explotar vulnerabilitats sense pegats en sistemes amb connexió a Internet per obtenir un punt de suport inicial abans de moure's lateralment per la xarxa i implementar ransomware en diversos dispositius simultàniament.

Resposta a una infecció de morter

Un cop s'ha detectat Mortar, la contenció immediata és fonamental. L'eliminació del ransomware dels sistemes afectats ajuda a prevenir més activitat de xifratge i redueix el risc de danys addicionals a l'entorn. Tanmateix, l'eliminació de programari maliciós no s'ha de confondre amb la recuperació de dades. L'eliminació del programa maliciós no restaura automàticament els fitxers xifrats.

El mètode de recuperació més fiable continua sent la restauració de còpies de seguretat netes creades abans que es produís l'atac. Les còpies de seguretat s'han d'emmagatzemar per separat dels sistemes de producció per evitar que el ransomware xifri els repositoris de còpies de seguretat durant un incident. Les organitzacions que mantenen còpies de seguretat segures i aïllades solen estar en una posició molt més forta per recuperar-se dels atacs de ransomware sense haver d'interactuar amb ciberdelinqüents.

Construint defenses fortes contra el ransomware

Una protecció eficaç contra el ransomware requereix una estratègia de seguretat per capes que combini tecnologia, conscienciació de l'usuari i manteniment proactiu. Les organitzacions haurien d'actualitzar regularment els sistemes operatius, les aplicacions i els dispositius de xarxa per eliminar les vulnerabilitats que els atacants exploten habitualment. Les polítiques d'autenticació fortes, especialment per als serveis d'accés remot, poden reduir significativament el risc d'entrada no autoritzada.

Igualment important és el desenvolupament d'una estratègia de còpia de seguretat robusta. Les dades crítiques s'han de copiar a diverses ubicacions, inclòs l'emmagatzematge fora de línia o desconnectat al qual no es pot accedir des dels sistemes compromesos. Les proves de còpia de seguretat periòdiques garanteixen que els procediments de restauració funcionin correctament durant una emergència.

Les pràctiques de seguretat clau inclouen:

  • Mantenir còpies de seguretat freqüents emmagatzemades en ubicacions separades i protegides.
  • Aplicant actualitzacions i pegats de seguretat tan bon punt estiguin disponibles.
  • Ús de contrasenyes fortes i úniques i habilitació de l'autenticació multifactor.
  • Restringir els serveis d'accés remot innecessaris i supervisar els intents d'inici de sessió.
  • Formar els empleats per reconèixer els correus electrònics de phishing i els fitxers adjunts sospitosos.
  • Implementació de solucions de protecció de punts finals i monitorització de xarxa de bona reputació.

Les organitzacions també haurien d'adoptar el principi de mínim privilegi, atorgant als usuaris només l'accés necessari per a les seves funcions. El seguiment continu, les auditories de seguretat i la planificació de la resposta a incidents reforcen encara més la resiliència contra les campanyes de ransomware com ara Mortar. Una combinació de controls preventius, capacitats de detecció ràpida i sistemes de còpia de seguretat fiables continua sent la defensa més eficaç contra les amenaces modernes de xifratge d'arxius.

Conclusió

El ransomware Mortar representa una greu amenaça per a les xarxes corporatives a causa de la seva capacitat de xifrar dades valuoses, interrompre les operacions i pressionar les víctimes perquè paguin pel desxifrat. En afegir identificadors únics als fitxers xifrats i dirigir les víctimes a un portal de rescat dedicat, els atacants demostren un enfocament estructurat i específic. Si bé la recuperació de fitxers xifrats pot ser un repte, les organitzacions que prioritzen pràctiques de ciberseguretat sòlides, mantenen còpies de seguretat aïllades i aborden proactivament les vulnerabilitats poden reduir substancialment l'impacte dels incidents de ransomware i millorar la seva postura de seguretat general.

System Messages

The following system messages may be associated with Mortar Ransomware:

--------------------------------------------
| What happened to your files?
--------------------------------------------

We breached your corporate network and encrypted the data on your computers. The encrypted data includes documents, databases, photos and more - all were encrypted using a military grade encryption algorithms (AES-256 and RSA-2048). You cannot access those files right now. But don't worry!

You can still get those files back and be up and running again in no time.

---------------------------------------------
| How to contact us to get your files back?
---------------------------------------------

The only way to restore your files is by purchasing a decryption tool loaded with a private key we created specifically for your network.

Once run on an effected computer, the tool will decrypt all encrypted files - and you can resume day-to-day operations, preferably with better cyber security in mind. If you are interested in purchasing the decryption tool contact us at hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion.

!IMPORTANT!
TO RESTORE YOUR FILES CONTACT US VIA TOR BROWSER

WEBSITE: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
USERNAME: sid
PASSWORD: 4RcrXfvVksS5ACA

BACKUP LINK TO SUPPORT TEAM: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
!!!!!!!!!!!

Tendència

El vostre client de correu electrònic de Microsoft...

Phishing, Correu brossa
Els correus electrònics "El vostre client de correu electrònic de Microsoft Outlook està obsolet" són missatges de suplantació d'identitat (phishing) creats per semblar notificacions de seguretat oficials de Microsoft Outlook. Els correus electrònics adverteixen els destinataris que el seu client de correu electrònic presumptament està obsolet i afirmen que si no s'actualitzen immediatament, es...

Més vist

Carregant...