Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Ransomware Theft Ransomware

Theft Ransomware

El Mezo el Ransomware
Traduir a:

L'entorn d'amenaces modern és implacable. Els ciberdelinqüents estan constantment refinant les seves eines per explotar usuaris desprevinguts. Entre les més perjudicials d'aquestes amenaces hi ha el ransomware, un programari maliciós que xifra les dades i extorsiona les víctimes per obtenir diners. Una d'aquestes variants emergents es coneix com a Theft Ransomware, que ja s'ha observat causant estralls en sistemes desprevinguts.

Què fa que el ransomware de robatori sigui perillós

El ransomware de robatori és una nova soca lligada a la coneguda família de ransomware Dharma, un grup conegut per atacar tant individus com organitzacions. En infiltrar-se en un dispositiu, el programari maliciós xifra els fitxers i els canvia el nom afegint-hi:

  • Un identificador únic de víctima
  • Adreça electrònica dels atacants
  • L'extensió '.theft'

Per exemple, '1.png' esdevé '1.png.id-9ECFA84E.[datatheft@tuta.io].theft'.

Les víctimes s'enfronten a notes de rescat en forma de fitxers de text ('info.txt') i una finestra emergent. Tot i que la nota de text és concisa i només proporciona dades de contacte, la finestra emergent ofereix més detalls, inclosa la garantia que la recuperació de dades és possible si es paga el rescat. Els atacants fins i tot ofereixen "prova de desxifratge" permetent que es restaurin tres fitxers petits i no crítics de forma gratuïta.

Afegint més pressió, els delinqüents afirmen haver robat dades empresarials sensibles i amenacen amb filtrar-les si es denega el pagament.

Característiques tècniques de l’amenaça

Igual que altres variants basades en Dharma, Theft Ransomware no bloqueja sistemes sencers, sinó que xifra els fitxers locals i compartits en xarxa. El programari maliciós activament:

  • Finalitza els processos vinculats als fitxers en ús (bases de dades, lectors, etc.)
  • Es copia a la ruta %LOCALAPPDATA% i registra la persistència mitjançant les claus d'execució.
  • Es configura per iniciar-se automàticament amb els reinicis del sistema
  • Elimina les còpies d'ombra de volum per evitar una fàcil recuperació.

El programari maliciós també recopila dades de geolocalització per determinar si cal procedir amb el xifratge, possiblement excloent certes regions.

Com es propaga la infecció

El ransomware utilitza múltiples tàctiques d'infiltració, sent la més comuna els serveis RDP (Remote Desktop Protocol) amb poca seguretat. Els atacs de força bruta i de diccionari contra comptes mal protegits són un punt d'entrada freqüent. Un cop a dins, el programari maliciós pot fins i tot desactivar els tallafocs per facilitar el seu funcionament.

Altres canals de distribució coneguts inclouen:

Phishing i enginyeria social : fitxers adjunts o enllaços maliciosos en correus electrònics, missatges directes i publicacions.

Troians i portes del darrere : s'utilitzen per deixar anar el ransomware silenciosament.

Publicitat maliciosa i descàrregues manipulades : s'activen simplement visitant un lloc web compromès.

Fonts de programari sospitoses : eines pirates, paquets de programari gratuït i actualitzacions falses.

Suports extraïbles i xarxes locals : permeten que el programari maliciós es propagui internament un cop arriba al sistema.

Per què pagar el rescat és una aposta arriscada

Desxifrar fitxers xifrats per robatori sense la clau dels atacants és gairebé impossible. Tot i que algunes variants de ransomware tenen defectes, les amenaces basades en Dharma solen estar sòlidament construïdes. És important destacar que pagar el rescat no ofereix cap garantia de recuperació, moltes víctimes es queden amb les mans buides fins i tot després de transferir fons. Pitjor encara, el pagament només finança futures operacions criminals.

Enfortir les vostres defenses contra el ransomware

La millor manera de combatre el robatori de ransomware és la prevenció. Com que l'eliminació del programari maliciós no restaurarà automàticament els fitxers xifrats, els usuaris s'han de centrar en la resiliència i les defenses proactives. Les pràctiques clau que tot usuari hauria d'adoptar són:

  • Còpies de seguretat periòdiques: manteniu còpies de fitxers importants en diverses ubicacions segures, com ara unitats fora de línia i serveis al núvol no assignats al sistema infectat.
  • Actualitzar programari i sistemes: aplicar pegats per tancar vulnerabilitats que explota el ransomware.
  • Utilitzeu l'autenticació forta: assegureu els serveis RDP amb contrasenyes úniques i complexes i activeu l'autenticació multifactor.
  • Aneu amb compte amb els correus electrònics i els enllaços: no obriu fitxers adjunts inesperats ni feu clic a enllaços desconeguts, encara que semblin legítims.
  • Restringir els drets d'administrador: limitar els privilegis per reduir l'impacte de la possible execució de programari maliciós.
  • Instal·leu eines de seguretat de bona reputació: utilitzeu solucions antimalware amb funcions de protecció contra ransomware.
  • Desactiva les macros i els scripts: molts atacs de ransomware es desencadenen a través de documents o scripts d'Office.
  • Segmentar xarxes: evitar que el programari maliciós es propagui lateralment per entorns empresarials.

Reflexions finals

El ransomware contra el robatori destaca l'evolució contínua de la família Dharma i el seu paper perdurable en les campanyes globals de ransomware. La seva combinació de xifratge, robatori de dades i extorsió el fa particularment perjudicial. Com que la recuperació d'arxius sovint és impossible sense còpies de seguretat netes, l'única defensa real és la prevenció per capes, una ciberhigiene sòlida i estratègies de recuperació fiables.

System Messages

The following system messages may be associated with Theft Ransomware:

All your files has been encrypted!

Don't worry, you can return all your files!
If you want to restore them, contact us: datatheft@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, contact mail:datatheft@cyberfear.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Some of your data has been downloaded

In case if you refuse to cooperate all downloaded data will be transfered to third parties. Financial implications: The threat of data breach could result in significant fines and legal action. Reputational risks: Data breach may lead to a loss of trust from customers and partners, as well as negative consequences for your future work. We strongly recommend you to contact us directly, to avoid the extra fee from middlemans and lower the risks of scam.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Ransom note in the text files:
All your data has been encrypted.

For decryption contact:

datatheft@tuta.io or datatheft@cyberfear.com

Articles Relacionats

Tendència

Més vist

Carregant...