BackMyData Ransomware

Το BackMyData είναι μια απειλή ransomware που έχει προσελκύσει την προσοχή των ερευνητών στον τομέα της κυβερνοασφάλειας. Σύμφωνα με τη λεπτομερή ανάλυσή τους, αυτή η απειλή παρουσιάζει την ικανότητα να καταστήσει μια ποικιλία τύπων αρχείων εντελώς απρόσιτη μέσω της χρήσης ισχυρών αλγορίθμων κρυπτογράφησης. Ο αντίκτυπος εκτείνεται πέρα από την κρυπτογράφηση, καθώς τα αρχικά ονόματα αρχείων των επηρεαζόμενων αρχείων υφίστανται σημαντικές τροποποιήσεις. Η απειλή προσθέτει το αναγνωριστικό ενός θύματος, μια διεύθυνση email ('backmydata@skiff.com') και την επέκταση '.backmydata' στο όνομα κάθε τροποποιημένου αρχείου. Αυτό έχει ως αποτέλεσμα έναν διακριτικό μετασχηματισμό, που χαρακτηρίζεται από αλλαγές όπως το '1.png' που γίνεται '1.jpg.id[9ECFA74E-3511].[backmydata@skiff.com].backmydata' και το '2.pdf' μετατρέπεται σε '2 .pdf.id[9ECFA74E-3511].[backmydata@skiff.com].backmydata», μεταξύ άλλων.

Τα θύματα του BackMyData βρίσκονται αντιμέτωπα με δύο σημειώσεις λύτρων που παρουσιάζονται με τη μορφή αρχείων «info.hta» και «info.txt». Αυτές οι σημειώσεις χρησιμεύουν ως κανάλι επικοινωνίας μεταξύ των επιτιθέμενων και των θυμάτων, περιγράφοντας τις απαιτήσεις για λύτρα και οδηγίες για πιθανή πληρωμή. Συγκεκριμένα, η απειλή αναγνωρίζεται ως παραλλαγή της οικογένειας Phobos Ransomware , δίνοντας έμφαση στη συσχέτισή της με μια ευρύτερη κατηγορία απειλητικού λογισμικού.

Τα θύματα του BackMyData έχουν συλλάβει τα αρχεία τους όμηροι από κυβερνοεγκληματίες

Το σημείωμα λύτρων που εκδόθηκε από το BackMyData χρησιμεύει ως ειδοποίηση προς τα θύματα, δηλώνοντας ρητά ότι το δίκτυό τους έχει παραβιαστεί και τα αρχεία είναι κρυπτογραφημένα. Αποκαλύπτει επίσης τη χρήση τακτικών διπλού εκβιασμού από τους εγκληματίες του κυβερνοχώρου, ισχυριζόμενοι ότι έχουν συλλεχθεί εμπιστευτικά δεδομένα, τα οποία περιλαμβάνουν πληροφορίες που αφορούν υπαλλήλους, πελάτες, συνεργάτες και εσωτερικά έγγραφα της εταιρείας. Το σημείωμα γνωστοποιεί ρητά ότι όλα τα κλοπιμαία δεδομένα θα διατηρηθούν έως ότου καταβληθούν τα απαιτούμενα λύτρα.

Επιπλέον, το σημείωμα παραδίδει ένα τελεσίγραφο, απειλώντας να πουλήσει τα παραβιασμένα δεδομένα εάν αποτύχουν οι διαπραγματεύσεις. Περιγράφει τις πιθανές επιπτώσεις για το θύμα, συμπεριλαμβανομένων νομικών επιπτώσεων, οικονομικών απωλειών και ανεπανόρθωτης ζημίας στη φήμη του κατά τη δημοσιοποίηση των δεδομένων.

Σε μια στρατηγική προσπάθεια να εξαναγκάσουν τη συμμόρφωση, οι εισβολείς προτείνουν λύτρα με έκπτωση εάν το θύμα επικοινωνήσει μαζί τους εντός καθορισμένου χρονικού πλαισίου. Παρέχονται οδηγίες επικοινωνίας, που υποδεικνύουν τη χρήση μιας συγκεκριμένης πλατφόρμας ανταλλαγής μηνυμάτων (Session) και μιας διεύθυνσης ηλεκτρονικού ταχυδρομείου (backmydata@skiff.com).

Επιπλέον, το σημείωμα λύτρων επιβάλλει αυστηρές οδηγίες που πρέπει να ακολουθεί το θύμα για να αποφευχθεί η ακούσια ζημιά στα κρυπτογραφημένα αρχεία. Προειδοποιεί ρητά για τη συμμετοχή τρίτων ή τη χρήση μη εξουσιοδοτημένου λογισμικού αποκρυπτογράφησης, τονίζοντας την ανάγκη συμμόρφωσης.

Πέρα από την κρυπτογράφηση αρχείων, το BackMyData επιδεινώνει την απειλή απενεργοποιώντας το τείχος προστασίας στο στοχευμένο σύστημα, αυξάνοντας την ευαισθησία του σε κακόβουλες δραστηριότητες. Διαγράφει σκόπιμα τα σκιώδη αντίγραφα τόμου, εξαλείφοντας πιθανά σημεία επαναφοράς. Επιπλέον, το BackMyData διαθέτει τη δυνατότητα εξαγωγής δεδομένων τοποθεσίας και χρησιμοποιεί μηχανισμούς επιμονής. Η απειλή μπορεί επίσης να διαμορφωθεί ώστε να αποκλείει προκαθορισμένες τοποθεσίες από την προσέγγισή της.

Είναι σημαντικό να υπογραμμίσουμε ότι οι παραλλαγές ransomware στην οικογένεια του Phobos, συμπεριλαμβανομένου του BackMyData, έχουν επιδείξει την τάση να εκμεταλλεύονται τρωτά σημεία στις υπηρεσίες Πρωτοκόλλου Απομακρυσμένης Επιφάνειας Επιφάνειας (RDP) για μόλυνση. Συχνά αξιοποιούν αδύναμα διαπιστευτήρια λογαριασμού μέσω επιθέσεων ωμής βίας και λεξικών, αποκτώντας έτσι μη εξουσιοδοτημένη πρόσβαση σε συστήματα με ανεπαρκή διαχείριση της ασφάλειας λογαριασμού. Αυτό υπογραμμίζει την επιτακτική ανάγκη για αυξημένα μέτρα κυβερνοασφάλειας και επαγρύπνησης για την αντιμετώπιση τέτοιων περίπλοκων απειλών.

Μια ισχυρή προσέγγιση ασφαλείας θα μπορούσε να αποτρέψει απειλές ransomware από τις συσκευές των χρηστών

Η προστασία συσκευών από επιθέσεις ransomware περιλαμβάνει έναν συνδυασμό προληπτικών μέτρων, βέλτιστων πρακτικών ασφάλειας στον κυβερνοχώρο και επαγρύπνησης. Ακολουθούν ορισμένες βασικές συστάσεις για τους χρήστες για την προστασία των συσκευών τους:

• Διατηρήστε ενημερωμένα το λογισμικό και τα συστήματα : Ενημερώνετε τακτικά τα λειτουργικά συστήματα, τις εφαρμογές λογισμικού και τα προγράμματα ασφαλείας για να επιδιορθώσετε ευπάθειες και να προστατεύσετε από γνωστά exploit.
• Χρησιμοποιήστε αξιόπιστο λογισμικό ασφαλείας : Εγκαταστήστε αξιόπιστο λογισμικό προστασίας από κακόβουλο λογισμικό σε συσκευές για τον εντοπισμό και την πρόληψη μολύνσεων από ransomware. Διατηρήστε το λογισμικό ασφαλείας ενημερωμένο για τους πιο πρόσφατους ορισμούς απειλών.
• Ενεργοποίηση προστασίας τείχους προστασίας : Ενεργοποιήστε και διατηρήστε ένα ισχυρό τείχος προστασίας για την παρακολούθηση της εισερχόμενης και εξερχόμενης κίνησης δικτύου, προσθέτοντας ένα επιπλέον επίπεδο άμυνας έναντι μη εξουσιοδοτημένης πρόσβασης.
• Δημιουργία αντιγράφων ασφαλείας σημαντικών δεδομένων : Δημιουργήστε τακτικά αντίγραφα ασφαλείας κρίσιμων δεδομένων σε μια εξωτερική συσκευή αποθήκευσης εκτός σύνδεσης. Οι λύσεις δημιουργίας αντιγράφων ασφαλείας που βασίζονται στο cloud μπορούν επίσης να διασφαλίσουν αποτελεσματικά τους κατάλληλους ελέγχους πρόσβασης και τις διαδικασίες ασφαλείας.
• Επαγρύπνηση με συνημμένα email και συνδέσμους : Να είστε ιδιαίτερα προσεκτικοί κατά την πρόσβαση σε συνημμένα email ή συνδέσμους, ειδικά από άγνωστες ή ύποπτες πηγές. Επαληθεύστε τη νομιμότητα των email και αποφύγετε τη λήψη αρχείων από μη αξιόπιστα email.
• Χρησιμοποιήστε ισχυρούς, μοναδικούς κωδικούς πρόσβασης : Χρησιμοποιήστε ισχυρούς και αποκλειστικούς κωδικούς πρόσβασης για τους λογαριασμούς σας και σκεφτείτε τα πλεονεκτήματα της χρήσης ενός διαχειριστή κωδικών πρόσβασης για τη δημιουργία και διαχείριση σύνθετων κωδικών πρόσβασης. Αποφύγετε τη χρήση προεπιλεγμένων ή εύκολα μαντέψιμων κωδικών πρόσβασης.

Συνδυάζοντας αυτά τα μέτρα, οι χρήστες μπορούν να ενισχύσουν σημαντικά την άμυνά τους έναντι επιθέσεων ransomware και να ελαχιστοποιήσουν τις πιθανές επιπτώσεις στις συσκευές και τα δεδομένα τους.

Η σημείωση λύτρων που δημιουργήθηκε από το BackMyData Ransomware είναι:

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information:
Data of your employees, customers, partners, as well as accounting and
other internal documentation of your company.

All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

What you will face if your data gets on the black market:
1) The personal information of your employees and customers may be used to obtain a loan or
purchases in online stores.
2) You may be sued by clients of your company for leaking information that was confidential.
3) After other hackers obtain personal data about your employees, social engineering will be
applied to your company and subsequent attacks will only intensify.
4) Bank details and passports can be used to create bank accounts and online wallets through
which criminal money will be laundered.
5) You will forever lose the reputation.
6) You will be subject to huge fines from the government.
You can learn more about liability for data loss here:
hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation
hxxps://gdpr-info.eu/
Courts, fines and the inability to use important files will lead you to huge losses.
The consequences of this will be irreversible for you.
Contacting the police will not save you from these consequences, and lost data,
will only make your situation worse.

IF YOU WILL CONTACT US IN FIRST 6 hours , and we close our deal in 24 hours , PRICE WILL BE ONLY 30%.
(time is money for both of us , if you will take care about our time , we will do same , we will care of price and decryption process will be done VERY FAST)
ALL DOWNLOADED DATA WILL BE DELETED after payment.

You can get out of this situation with minimal losses (Our reputation is our money!) !!!
To do this you must strictly observe the following rules:
DO NOT Modify, DO NOT rename, DO NOT copy, DO NOT move any files.
Such actions may DAMAGE them and decryption will be impossible.
DO NOT use any third party or public decryption software, it may also DAMAGE files.
DO NOT Shutdown or Reboot the system this may DAMAGE files.
DO NOT hire any third party negotiators (recovery/police, etc.)
You need to contact us as soon as possible and start negotiations.

You can send us 1-2 small data not value files for test , we will decrypt it and send it to you back.
After payment we need no more that 2 hours to decrypt all of your data. We will be support you untill fully decryption going to be done! ! !
(Our reputation is our money!)

Instructions for contacting our team:
Download the (Session) messenger (hxxps://getsession.org) in messenger 05947063ab6603c0e3a12db53d93d23634081c56390ff2084d11977820f78ce877

MAIL:backmydata@skiff.com'