HuiVJope Ransomware
A ransomware-szcenárió legújabb kiegészítései közé tartozik a HuiVJope Ransomware, a hírhedt Phobos Ransomware család egy fenyegető változata. A HuiVJope azzal tűnik ki, hogy egyedi fájlkiterjesztést fűz a titkosított áldozatok fájljaihoz, jellemzően „.HuiVJope” formátumban, amelyet egy változó szám követ. Ez a testreszabás összetettebbé teszi a fájl-helyreállítási erőfeszítéseket, mivel az áldozatok összetéveszthetetlen kompromisszumot jelentenek.
Tartalomjegyzék
A Ransom Note és a kommunikációs csatornák
A fájlok sikeres titkosítása után a HuiVJope egy „info.txt” vagy „info.hta” nevű váltságdíjat küld, amely felvázolja az adatlekérésre és a fizetésre vonatkozó feltételeket. A támadók elérhetőségi adatokat adnak meg a kommunikációhoz, kihasználva a Telegram „@GROUNDINGCONDUCTOR” kezelőfelületét és a „huivjope@tutanota.com” e-mail címet. Ezek a csatornák szolgálják az áldozatok elsődleges eszközét a váltságdíjról való tárgyaláshoz, és esetlegesen visszaszerezhetik a hozzáférést a veszélyeztetett adataikhoz.
A HuiVJope sokoldalú megközelítést alkalmaz a megcélzott rendszer védelmének megbénításához. A zsarolóprogramot úgy tervezték, hogy letiltja a tűzfalat, amely a rendszer biztonsági infrastruktúrájának kritikus összetevője. Ennek az elsődleges védelmi mechanizmusnak a semlegesítésével a HuiVJope simább beszivárgási és végrehajtási folyamatot biztosít.
Az adat-helyreállítási utak megszüntetése
A támadás hatásának maximalizálása érdekében a HuiVJope stratégiai intézkedéseket tesz az adat-helyreállítás lehetséges útjainak kiküszöbölésére. A zsarolóprogram a Shadow Volume Copies-t célozza meg, amely szolgáltatás lehetővé teszi a felhasználók számára a fájlok korábbi verzióinak visszaállítását. Azáltal, hogy kiirtja ezeket az árnyékmásolatokat, a HuiVJope tovább erősíti az áldozat adatait, így korlátozott visszakeresési lehetőségei vannak.
A Remote Desktop Protocol (RDP) biztonsági résének kihasználása
A HuiVJope különösen ügyes a Remote Desktop Protocol (RDP) szolgáltatások sérülékenységeinek kihasználásában, amely a távoli rendszerek elérésének és kezelésének szabványos módja. A zsarolóprogram illetéktelen hozzáférést kap azáltal, hogy nyers erőt és szótári támadást alkalmaz az RDP-szolgáltatásokhoz kapcsolódó, rosszul kezelt fiók hitelesítő adatai ellen. Ez a módszer lehetővé teszi a HuiVJope számára, hogy beszivárogjon a rendszerekbe, és elindítsa a pusztító titkosítási folyamatát.
Perzisztencia mechanizmusok és adatgyűjtés
Azonnali hatásán túl a HuiVJope olyan mechanizmusokkal is rendelkezik, amelyek a fertőzött rendszeren fennmaradnak, biztosítva a tartós jelenlétet. Ez a kitartás lehetővé teszi a ransomware számára, hogy fenntartsa az irányítást a feltört rendszer felett, és potenciálisan későbbi támadásokat indítson. Ráadásul a HuiVJope nem kizárólag a titkosításra összpontosít; adatgyűjtési képességekkel is rendelkezik. A ransomware képes helyadatokat gyűjteni, ami potenciálisan lehetővé teszi a támadók számára, hogy meghatározott földrajzi régiókat célozzanak meg. Nevezetesen kizárhatja az előre meghatározott helyeket az adatgyűjtésből, ami arra utal, hogy célzási stratégiája kifinomultabb.
A HuiVJope Ransomware megjelenése rávilágít a kiberfenyegetések fejlődő és kifinomult természetére. A szervezeteknek és egyéneknek előnyben kell részesíteniük a robusztus kiberbiztonsági gyakorlatokat, ideértve a rendszeres szoftverfrissítéseket, az erős jelszószabályokat, valamint az adathalászatról és a szociális manipulációs taktikákról szóló munkavállalói tájékoztatást. Ezenkívül az offline biztonsági mentések megőrzése továbbra is kulcsfontosságú védekezés a ransomware támadások növekvő fenyegetése ellen. Ahogy a kiberbiztonsági környezet folyamatosan fejlődik, a proaktív és többrétegű védelmi megközelítés elengedhetetlen az olyan fenyegető entitások által jelentett kockázatok mérsékléséhez, mint a HuiVJope.
Íme a HuiVJope Ransomware váltságdíj üzenete:
'!! FIGYELEM!!!
A hálózatot feltörték, és a fájlok titkosítva vannak.
A titkosított adatokkal együtt más bizalmas információkat is letöltöttünk: alkalmazottai, ügyfelei, partnerei adatait, valamint cége számviteli és egyéb belső dokumentációit.
Az adatokról
Minden adatot tárolunk, amíg Ön nem fizet.
Fizetés után átadjuk a visszafejtési programokat és töröljük adatait
Nem akarunk rosszat tenni a cégével, ez csak üzlet (a hírnevünk a pénzünk!)
Ha (bármilyen okból) megtagadja a velünk való tárgyalást, minden adatát eladásra bocsátjuk.
Amivel szembe kell néznie, ha adatai a feketepiacra kerülnek:
Alkalmazottainak és ügyfeleinek személyes adatai felhasználhatók kölcsönszerzéshez vagy online áruházakban történő vásárlásokhoz.
Cége ügyfelei beperelhetik Önt bizalmas információk kiszivárogtatása miatt.
Miután más hackerek személyes adatokat szereznek meg az Ön alkalmazottairól, a social engineering alkalmazására kerül sor, és a későbbi támadások csak fokozódnak.
A banki adatok és az útlevelek felhasználhatók bankszámlák és online pénztárcák létrehozására, amelyeken keresztül bűnügyi pénzek mosására kerül sor.
Örökre elveszíti a hírnevét.
Hatalmas pénzbírságot szab ki rád a kormány.
Az adatvesztésért való felelősségről itt tudhat meg többet: hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation vagy itt hxxps://gdpr-info.eu
A bíróságok, a bírságok és a fontos fájlok használatának képtelensége hatalmas veszteségekhez vezet. Ennek következményei visszafordíthatatlanok lesznek az Ön számára.
A rendőrséghez fordulás nem menti meg Önt ezektől a következményektől, az elveszett adatok pedig csak rontják helyzetét.
Hogyan léphet kapcsolatba velünk
Írjon nekünk a HuiVJope@tutanota.com e-mail címre
Felveheti a kapcsolatot online szolgáltatónkkal táviratban: @GROUNDINGCONDUCTOR (VIGYÁZAT A HAMISÍTÁSRA)
Töltse le a (Session) messengert hxxps://getsession.org a messengerben: ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Írja be ezt az azonosítót az üzenet címébe: 9ECFA84E-3511
HA AZ ELSŐ 6 ÓRÁBAN FELVESZ VELÜNK KAPCSOLATOT, és 24 órán belül lebonyolítjuk üzletünket, AZ ÁR CSAK 30% LESZ.
(Az idő mindkettőnk számára pénz, ha törődsz az időnkkel, mi is így tesszük, mi gondoskodunk az árról, és a visszafejtési folyamat NAGYON GYORSAN megtörténik)
A fizetés után MINDEN LETÖLTÖTT ADAT TÖRLÉSE.
Mit ne tegyen, és ajánlás
Ebből a helyzetből minimális veszteséggel kerülhetsz ki (A mi pénzünk a hírnevünk!) !!! Ehhez szigorúan be kell tartania a következő szabályokat:
Fájlokat NE MÓDOSÍTS, NE nevezzen át, NE másoljon, NE helyezzen át. Az ilyen műveletek SÉRÜLHETNEK bennük, és a visszafejtés lehetetlen lesz.
NE használjon harmadik féltől származó vagy nyilvános visszafejtési szoftvert, mert az a fájlokat is KÁROSÍTHATJA.
NE állítsa le vagy indítsa újra a rendszert, mert ez KÁROSÍTHATJA a fájlokat.
NE alkalmazzon harmadik fél tárgyalópartnereket (helyreállítás/rendőrség stb.) A lehető leghamarabb kapcsolatba kell lépnie velünk, és meg kell kezdenie a tárgyalásokat.
Tesztre küldhetsz nekünk 1-2 kisebb adatot nem értékes fájlt, mi visszafejtjük és visszaküldjük.
Fizetés után legfeljebb 2 órára van szükségünk az összes adat visszafejtéséhez. Támogatást nyújtunk mindaddig, amíg a teljes visszafejtés meg nem történik! ! ! (A hírnevünk a pénzünk!)'
