Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Ransomware Run (Makop) Ransomware

Run (Makop) Ransomware

El Mezo el Ransomware
Traduir a:

Protegir els entorns digitals contra el programari maliciós s'ha convertit en una responsabilitat crítica tant per a individus com per a organitzacions. Les operacions modernes de ransomware ja no són molèsties oportunistes; són atacs calculats i multietapa dissenyats per xifrar, extorquir i exposar públicament informació sensible. Una d'aquestes amenaces sofisticades que actualment rastregen els investigadors de seguretat és Run Ransomware, una soca maliciosa que demostra les tàctiques en evolució dels grups ciberdelinqüents contemporanis.

Executar ransomware: una variant de la família Makop

Els analistes de seguretat han identificat Run Ransomware com a membre de la família de ransomware Makop, un grup conegut de soques de programari maliciós que xifren fitxers associades amb tècniques d'extorsió agressives. L'amenaça es va descobrir durant una investigació més àmplia sobre campanyes de ransomware actives i emergents.

Un cop executat, Run Ransomware inicia un procés de xifratge sistemàtic dirigit als fitxers d'usuari a tot el sistema compromès. Després de xifrar les dades, modifica els noms dels fitxers afegint tres elements diferents: un ID de víctima únic, una adreça de correu electrònic de contacte i l'extensió '.run'. Per exemple, un fitxer com ara '1.png' esdevé '1.png.[2AF20FA3].[runandpay@outlook.com].run'. Aquesta estructura de canvi de nom serveix tant com a marcador de compromís com a tàctica de pressió psicològica, fent que la infecció sigui immediatament visible.

A més del xifratge de fitxers, el ransomware altera el fons de pantalla del sistema per reforçar el missatge d'atac i deixa anar una nota de rescat titulada "+README-WARNING+.txt". Aquestes accions estan dissenyades per garantir que la víctima no pugui ignorar la intrusió.

Tàctiques d’extorsió i pressió psicològica

La nota de rescat transmet un missatge clar i coercitiu. Afirma que l'ordinador de la víctima ha estat bloquejat, que els fitxers han estat xifrats i que s'han robat dades sensibles. Aquesta combinació de xifratge i exfiltració de dades indica una estratègia de doble extorsió, una tècnica cada cop més utilitzada pels operadors de ransomware moderns.

Es recomana a les víctimes que contactin amb els atacants a través de l'adreça de correu electrònic proporcionada, "runandpay@outlook.com", i que facin referència al seu identificador únic. La nota emfatitza la urgència oferint un rescat reduït si la comunicació es produeix dins de les primeres 24 hores. A més, amenaça que l'incompliment comportarà la publicació dels fitxers robats. A més, adverteix que l'eina de desxifratge s'eliminarà si la víctima es nega a pagar, cosa que augmenta el risc percebut de pèrdua permanent de dades.

En realitat, pagar un rescat no garanteix la recuperació d'arxius. Moltes víctimes o bé reben eines de desencriptació no funcionals o bé són ignorades després del pagament. Sense accés a les claus de desencriptació privades dels atacants, restaurar els arxius xifrats sol ser impossible tret que es disposi de còpies de seguretat fiables.

Vectors d’infecció i mètodes de distribució

Run Ransomware segueix canals de distribució comuns però altament eficaços que s'utilitzen en tot el panorama del ransomware. La infecció generalment es produeix després de la interacció amb contingut maliciós o enganyós. Els actors amenaçadors sovint dissimulen càrregues útils dins de fitxers que semblen legítims o rutinaris.

Les vies d'infecció comunes inclouen:

  • Correus electrònics de phishing que contenen fitxers adjunts o enllaços maliciosos
  • Missatges falsos d'assistència tècnica i estafes d'enginyeria social
  • Programari pirata, cracks i generadors de claus
  • Llocs web compromesos o fraudulents
  • Xarxes de compartició de fitxers entre iguals
  • Anuncis maliciosos i kits d'explotació
  • unitats USB infectades
  • Explotació de vulnerabilitats de programari sense pegats

Els fitxers maliciosos es poden presentar com a programes executables, scripts, arxius comprimits (ZIP o RAR) o formats de documents comuns com ara fitxers Word, Excel i PDF. El programari obsolet augmenta significativament l'exposició, ja que els actors amenaçadors sovint exploten vulnerabilitats conegudes per obtenir accés inicial.

La importància de l’eliminació immediata

Un cop dins d'un sistema, el ransomware s'ha d'eliminar el més aviat possible. Si es deixa actiu, pot continuar xifrant els fitxers recentment creats o connectats, inclosos els que es troben en unitats de xarxa assignades o emmagatzematge compartit. En entorns empresarials, això pot convertir un únic punt final compromès en un incident de xarxa generalitzat.

L'aïllament oportú del dispositiu infectat de la xarxa pot evitar el moviment lateral. Tanmateix, l'eliminació per si sola no desxifra els fitxers afectats; només atura qualsevol activitat maliciosa.

Enfortiment de la defensa: pràctiques essencials de seguretat

Una defensa eficaç contra Run Ransomware i amenaces similars requereix una estratègia de seguretat per capes. Tot i que cap sistema és completament immune, les següents pràctiques recomanades redueixen significativament l'exposició al risc:

  • Mantingueu còpies de seguretat regulars fora de línia o basades en el núvol i verifiqueu-ne la integritat.
  • Mantingueu els sistemes operatius i les aplicacions actualitzats amb els pegats de seguretat més recents.
  • Utilitzeu solucions de protecció de punts finals de bona reputació amb detecció d'amenaces en temps real.
  • Desactiveu les macros als documents d'Office si no és absolutament necessari.
  • Eviteu descarregar programari pirata o no oficial.
  • Aneu amb compte amb els correus electrònics no sol·licitats, especialment aquells que contenen fitxers adjunts o sol·licituds urgents.
  • Restringir els privilegis administratius per limitar els canvis no autoritzats del sistema.
  • Implementar la segmentació de xarxes en entorns organitzatius.

Més enllà dels controls tècnics, la conscienciació dels usuaris continua sent una pedra angular de la resiliència en ciberseguretat. Capacitar les persones per reconèixer els intents de phishing i les descàrregues sospitoses pot reduir dràsticament les taxes d'infecció amb èxit.

Avaluació final

Run Ransomware exemplifica la creixent sofisticació de les operacions modernes de ransomware. Mitjançant el xifratge, el robatori de dades i la manipulació psicològica, pressiona les víctimes perquè prenguin decisions de pagament ràpides. La seva afiliació amb la família de ransomware Makop destaca la naturalesa estructurada i evolutiva d'aquestes empreses criminals.

La recuperació sense còpies de seguretat sovint és inviable i el pagament d'un rescat continua sent una aposta d'alt risc. La protecció més fiable rau en la defensa proactiva: estratègies de còpia de seguretat robustes, actualitzacions de programari puntuals, una protecció sòlida dels endpoints i un comportament informat dels usuaris. En el panorama actual de les amenaces, la preparació no és opcional, és essencial.

 

System Messages

The following system messages may be associated with Run (Makop) Ransomware:

----------------------------------------------------

WARNING! AVVERTIMENTO! WARNUNG!

----------------------------------------------------

Your computer is locked, your data are encrypted and stolen.

Contact us immediately to pay and decrypt your files.

The decryption price is lower for the first 24 hours.

If you don't pay for decryption after your initial contact, the files will be published online.

The decoder will be deleted if you don't pay.

----------------------------------------------------

Email: runandpay@outlook.com

----------------------------------------------------

YOUR ID:

Tendència

Campanya d'atac de ransomware Medusa

Amenaça persistent avançada (APT), Ransomware
L'actor de pirateria vinculat a Corea del Nord conegut com a Lazarus Group, també rastrejat com a Diamond Sleet i Pompilus, ha estat observat desplegant el ransomware Medusa en un atac contra una organització anònima a l'Orient Mitjà. Els investigadors de seguretat també van identificar un intent d'intrusió fallit per part dels mateixos actors dirigit a una organització sanitària als Estats...

Més vist

Carregant...